近日，老牌恶意脚本Phorpiex再度活跃，成为LockBit 3.0勒索木马的传播载体。感染此脚本的设备会自动下载并运行LockBit木马，整个过程高度自动化，无需黑客远程操作。此次攻击主要通过钓鱼邮件传播，邮件附带的ZIP压缩包中隐藏了恶意脚本。用户运行其中的.SCR文件后，脚本将连接黑客服务器，下载名为“lbbb.exe”的勒索木马。

为规避检测，脚本在运行时对关键字符串加密，并动态解析函数，同时清除URL缓存记录，以确保下载过程不受干扰。所有文件存储于系统临时文件夹，并以随机名称命名，部署完成后还会删除痕迹文件，增加追踪难度。

Phorpiex自2010年首次出现以来，已从挖矿工具演变为多种恶意木马的载体。其模块化设计和自我清理功能使其成为黑客青睐的攻击工具。LockBit团队则以“勒索即服务”模式闻名，尽管去年遭到执法机构打击，但残余势力仍借助Phorpiex继续威胁网络安全。