瑞星揭秘“銀狐木馬”雙線攻擊方式

“尊敬的客戶，您的發(fā)票已生成，點(diǎn)擊下載作為報銷憑證……” 這樣一封看似普通的銀行電子發(fā)票通知郵件，卻可能是黑客撬開你電腦大門的鑰匙。

近日，瑞星威脅情報平臺捕獲到“銀狐木馬”新一輪的攻擊，他們通過偽造發(fā)票郵件和聊天文件，借助合法軟件的外衣大肆竊密，金融機(jī)構(gòu)和普通用戶都已成為目標(biāo)。

攻擊事件一：釣魚郵件借“白加黑””技術(shù)劫持系統(tǒng)

瑞星安全專家深入追蹤發(fā)現(xiàn)，“銀狐木馬”團(tuán)伙針對國內(nèi)某銀行發(fā)動精密釣魚攻擊，以發(fā)票通知作為誘餌，向銀行員工郵箱發(fā)送釣魚郵件，郵件域名偽裝成正規(guī)機(jī)構(gòu)，內(nèi)嵌“百度”樣式鏈接（如：hxxps://baidu.com@xxxxx.cn），極具迷惑性。一旦點(diǎn)擊，便會跳轉(zhuǎn)到高仿的驗(yàn)證頁面，誘導(dǎo)用戶下載名為“票單.zip”的壓縮包。

瑞星安全專家介紹，該壓縮包內(nèi)含有經(jīng)德國安博士（Avira）合法簽名的程序，卻暗藏DLL惡意程序。“銀狐木馬”正是通過這種“白加黑”的方式繞過安全軟件檢測，偷偷獲取管理員權(quán)限，并下載其核心模塊。

攻擊事件二：聊天文件用“硬件綁定”加密術(shù)

除了釣魚郵件，“銀狐木馬”的另一分支通過聊天軟件傳播名為"明細(xì)查詢.zip"的壓縮包。解壓后可以看到大家熟悉的“微軟電腦管家”程序，但這實(shí)則是黑客篡改后的“毒匣子”，該程序附帶的配置文件已被修改，會主動加載“m$RECYCLE.BIN”目錄下的惡意程序。

瑞星安全專家介紹，惡意程序會讀取電腦硬盤序列號和主板信息，生成一個32字節(jié)的獨(dú)特密鑰，這種機(jī)制使得惡意代碼只在目標(biāo)設(shè)備上被激活，讓安全人員分析難度變大。并且，木馬還會將自身拆分成多個.dat文件，平時以碎片形式隱藏在系統(tǒng)深處，僅在執(zhí)行時通過cmd命令動態(tài)拼接，這種 “碎片攻擊”讓傳統(tǒng)殺毒軟件難以識別。

瑞星警示：銀狐木馬持續(xù)活躍，且危害巨大

瑞星安全專家介紹，銀狐木馬（又名毒鼠、谷墮、游蛇），是近年來國內(nèi)非常流行的一個遠(yuǎn)控木馬。自2022年9月起開始活躍，主要針對企事業(yè)單位管理人員、財務(wù)人員、銷售人員及電商賣家進(jìn)行釣魚攻擊。攻擊團(tuán)伙通過投遞遠(yuǎn)控木馬，獲得受害者的計(jì)算機(jī)控制權(quán)限，在系統(tǒng)內(nèi)長期駐留，監(jiān)控用戶日常操作，竊取敏感信息，利用受害者的即時通信軟件來發(fā)送具有針對性的釣魚、欺詐類信息，實(shí)施釣魚攻擊和詐騙等違法行為。

正是這種深度潛伏與全面操控的特性，讓銀狐木馬極具威脅性：

●偽裝隱藏：把自己注入到系統(tǒng)進(jìn)程中，避免被任務(wù)管理器發(fā)現(xiàn)；

● 數(shù)據(jù)竊密：實(shí)時記錄鍵盤輸入、截取屏幕畫面，甚至能遠(yuǎn)程查看聊天記錄；

●毀尸滅跡：清理系統(tǒng)日志、關(guān)閉殺毒軟件防護(hù)，讓黑客操作不留痕跡。

更可怕的是，木馬會隨時接收黑客指令，可執(zhí)行關(guān)機(jī)、刪除文件、下載新病毒等操作。

瑞星四步防護(hù)建議：

由于近期“銀狐木馬”頻繁活動，借助帶有合法數(shù)字簽名的文件作為掩護(hù)，對用戶的迷惑性極強(qiáng)，因此瑞星安全專家建議廣大用戶：

1. 不打開可疑文件。

不打開未知來源的可疑的文件和郵件，防止社會工程學(xué)和釣魚攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報追溯威脅行為軌跡，進(jìn)行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。

4. 及時修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來進(jìn)行傳播，及時安裝補(bǔ)丁將有效減少漏洞攻擊帶來的影響。