近期,多地公安已发布关于“银狐”木马的预警通告。此木马针对企事业单位管理人员、财务人员、销售人员及电商卖家设计,一旦获得计算机控制权限,它便会在系统内长期潜伏,通过监控受害者的日常操作,寻找诈骗的机会。
最近,安全中心再次监测到此木马的新变种分支,该变种依然通过诱骗用户点击钓鱼链接或从即时通讯工具中接收传输文件,让用户下载并执行远控木马。攻击者在利用远控木马长期监视用户的过程中,可随时控制受害者电脑,并可能骗取或盗取用户数据及财产。
通过对目前捕获到的样本进行溯源发现:这一批变种最早于8月26日开始传播,攻击团伙主要集中于东南亚地区。新变种的攻击手法和样本信息均与过往“银狐”木马样本有所不同,但攻击目标重合度较高,依然是瞄准的政企财务人员。
该木马新变种常采用“利用二次打包的合法监控工具诱导用户安装”或“直接使用远控木马进行攻击”两种方式发起攻击。常见的传播名称包括:
“关于2023企业所得税减缓最新规定.exe”、“税务补贴服务端.exe”、“2023年财务人员的中秋福利.exe”等。
其中,一起利用合法远控工具进行攻击的案例中,该木马新变种会为传播而搭建钓鱼网页。
用户一旦上当,便会下载到一个名为“票·宝.xxxxx.exe”的程序,该程序实际是一个自解压安装包。
安装包执行后,会向%TEMP%\server目录下释放某款合法远控程序的受控端组件及配置文件,并对其进行注册与执行。受控端启动后会自行读取配置文件中的参数信息,这其中就包括了已被攻击者定义好的上线IP及端口等。
另一种情况则更为直接,攻击者会自行编写远控木马对受害者进行监视和控制。
该木马自身具有远程加载执行功能。木马启动后,会通过FTP协议远程加载网络侧的攻击载荷并执行。
对攻击载荷进行解密后会发现,该代码是一个用.NET编写的远控木马,并带有一系列与安全软件对抗的功能。例如:木马会判断用户机器是否处于虚拟机之中,以及对Windows反恶意软件接口(AMSI)的AmsiScanBuffer函数进行了patch。
此外,它还会添加持久化驻留。
同时,木马具有键盘消息钩子功能,会将记录的键盘消息加密压缩后发送到其远控服务器。
鉴于该木马所带来的安全威胁,建议广大政企机构不要随意点击陌生人群发的“exe”格式文件,并且下载安装相关安全管理系统,以免重要数据泄露而产生不可逆的损失。
如有任何疑问
请联系平台0574-88398718
或反诈热线:96110
来源:8718江北平台
国产化作答解释落实:预警!江北已多家企业中招“银狐”木马!