近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现NordDragonScan恶意软件持续活跃，其主要攻击目标为Windows用户，可能导致敏感信息泄露、系统受控等风险。

NordDragonScan是一种针对Windows系统的高级信息窃取型木马（infostealer），攻击者通过短链接（将冗长网址压缩成简短字符形式以方便传播且能隐藏真实网址信息的链接）服务诱导用户跳转至伪装成文件共享平台的恶意网站，自动下载含恶意LNK快捷方式的RAR压缩包，用户双击后，会调用Windows原生命令行工具mshta.exe执行嵌入的HTML应用程序（HTA）脚本，将PowerShell.exe复制到公共目录并伪装为install.exe以绕过安全检测。木马安装后可执行多项恶意行为：定期截屏并提取浏览器敏感数据，搜索桌面、文档等目录的文档文件，通过修改注册表实现自启动。此外，NordDragonScan可通过自定义HTTP头与C2服务器kpuszkiev.com建立加密TLS连接，进行数据回传与持续通信，并具备内网扫描与横向渗透能力，探测本地局域网设备，识别存在安全漏洞的主机，进一步扩大感染风险。

来源：网络安全威胁和漏洞信息共享平台