“尊敬的客户,您的发票已生成,点击下载作为报销凭证……” 这样一封看似普通的银行电子发票通知邮件,却可能是黑客撬开你电脑大门的钥匙。
近日,瑞星威胁情报平台捕获到“银狐木马”新一轮的攻击,他们通过伪造发票邮件和聊天文件,借助合法软件的外衣大肆窃密,金融机构和普通用户都已成为目标。
攻击事件一:钓鱼邮件借“白加黑””技术劫持系统
瑞星安全专家深入追踪发现,“银狐木马”团伙针对国内某银行发动精密钓鱼攻击,以发票通知作为诱饵,向银行员工邮箱发送钓鱼邮件,邮件域名伪装成正规机构,内嵌“百度”样式链接(如:hxxps://baidu.com@xxxxx.cn),极具迷惑性。一旦点击,便会跳转到高仿的验证页面,诱导用户下载名为“票单.zip”的压缩包。
瑞星安全专家介绍,该压缩包内含有经德国安博士(Avira)合法签名的程序,却暗藏DLL恶意程序。“银狐木马”正是通过这种“白加黑”的方式绕过安全软件检测,偷偷获取管理员权限,并下载其核心模块。
攻击事件二:聊天文件用“硬件绑定”加密术
除了钓鱼邮件,“银狐木马”的另一分支通过聊天软件传播名为"明细查询.zip"的压缩包。解压后可以看到大家熟悉的“微软电脑管家”程序,但这实则是黑客篡改后的“毒匣子”,该程序附带的配置文件已被修改,会主动加载“m$RECYCLE.BIN”目录下的恶意程序。
瑞星安全专家介绍,恶意程序会读取电脑硬盘序列号和主板信息,生成一个32字节的独特密钥,这种机制使得恶意代码只在目标设备上被激活,让安全人员分析难度变大。并且,木马还会将自身拆分成多个.dat文件,平时以碎片形式隐藏在系统深处,仅在执行时通过cmd命令动态拼接,这种 “碎片攻击”让传统杀毒软件难以识别。
瑞星警示:银狐木马持续活跃,且危害巨大
瑞星安全专家介绍,银狐木马(又名毒鼠、谷堕、游蛇),是近年来国内非常流行的一个远控木马。自2022年9月起开始活跃,主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为。
正是这种深度潜伏与全面操控的特性,让银狐木马极具威胁性:
● 伪装隐藏:把自己注入到系统进程中,避免被任务管理器发现;
● 数据窃密:实时记录键盘输入、截取屏幕画面,甚至能远程查看聊天记录;
● 毁尸灭迹:清理系统日志、关闭杀毒软件防护,让黑客操作不留痕迹。
更可怕的是,木马会随时接收黑客指令,可执行关机、删除文件、下载新病毒等操作。
瑞星四步防护建议:
由于近期“银狐木马”频繁活动,借助带有合法数字签名的文件作为掩护,对用户的迷惑性极强,因此瑞星安全专家建议广大用户:
1. 不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
2. 部署EDR、NDR产品。
利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。
3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。
杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
4. 及时修补系统补丁和重要软件的补丁。
许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。
