奇安信威胁情报中心发现多款二次打包的恶意安装包样本，携带木马后门，伪造常用工具软件界面诱使用户下载。这些样本与之前发现的被恶意重新打包的“企业微信”样本相似，判断为同一黑产组织。恶意安装包会释放恶意文件并加载BigWolf RAT，窃取浏览器记录、聊天软件记录和按键记录等。攻击者使用PE加载器作为木马母体，以反静态分析和规避杀毒软件检测。报告重点分析了仿冒“向日葵远控”、“钉钉”、“WPS”的恶意安装包样本。用户应加强网络安全意识，避免下载使用不明来源的软件。