“銀狐”木馬新變種來襲,這份防范指南請查收
自2023年起,“銀狐”木馬的攻擊活動便愈演愈烈,頻繁對我國企業發起攻擊并獲取人員信息,實施違法及詐騙行為。
2024年12月,國家計算機病毒應急處理中心和計算機病毒防治技術國家工程實驗室依托國家計算機病毒協同分析平臺,在我國境內再次捕獲發現針對我國用戶的“銀狐”木馬病毒最新變種,各地監管單位連續發出對“銀狐”木馬變種的安全通告。
安博通安全服務團隊監測到,新變種的“銀狐”木馬病毒主要攻擊對象為企業財務、辦稅人員。攻擊者通過微信、釘釘等IM聊天工具進行定向投毒,并在工作群內傳播擴散,“銀狐”木馬病毒會偽裝成“發票”、“財稅”、“人員名單”等財務工作者感興趣的文件,引誘安全意識薄弱的人員進行點擊和下載安裝。此外,也會使用釣魚郵件或網站定向傳播,誘使受害者執行安裝程序,在無意中下載遠控木馬。攻擊者進而入侵并控制受害者的計算機操作系統,實施攻擊活動,甚至長期潛伏并竊取企業有價值的數據及敏感信息。
“銀狐”木馬攻擊路徑
“銀狐”木馬病毒具有多種攻擊及傳播方式,包括但不限于社交軟件、郵件、偽造軟件官網、搜索引擎SEO、合法程序二次打包分發等渠道形式。相較普通木馬而言,銀狐木馬多采用進程注入、無文件攻擊及簽名偽造等多種技術繞過安全防護,遠程控制受害者的計算機,竊取用戶敏感信息。
其最常見的一類IM釣魚投遞方式是利用工作群進行投遞,但這種方法的缺點比較明顯,容易被微信及終端電腦封禁查殺,易被安全防護軟件攔截。
由于直接發送釣魚木馬程序容易被攔截,攻擊者還想出了把木馬藏在Excel、PDF文件中進行發送的方法,將釣魚鏈接潛藏在Excel文檔中。
攻擊者還會通過收集企業郵箱信息,向這些郵箱發送釣魚郵件,郵件主題通常謊稱開展稅收稽查工作,誘導企業辦稅人員點擊不明鏈接。
除去以上的IM釣魚攻擊和郵件攻擊外,攻擊者還會利用水坑攻擊偽造惡意程序,包括但不限于利用WPS、PDF、CAD、企微寶、加速器、360模塊、壓縮軟件、PPT、美圖、向日葵、搜狗輸入法、secureCRT程序等軟件。
“銀狐”木馬特點
隱蔽性:“銀狐”利用NetBox工具的特性,在啟動時具備加載同目錄下文件的能力,誘使計算機自動執行預先設置的惡意腳本,可巧妙規避常規的安全防護措施,以此實現入侵目的。木馬新變種以RAR、ZIP等壓縮格式(內含EXE可執行程序)為主,并為壓縮包設置了解壓密碼,在釣魚信息中進行提示告知,以逃避社交媒體軟件和部分安全軟件的檢測,使其具有更強的傳播力。
控制性:“銀狐”一旦完成對受害者設備的感染,便會開啟免殺對抗機制。為了能長期控制用戶電腦,會利用一些正規的企業管理軟件實現在系統中的長期駐留,比如:ip-guard、固信終端安全、陽途終端安全等軟件。這類軟件本身是幫助企業通過管控平臺對終端設備進行集中管理和運行監控管理使用的,“銀狐”會利用管控軟件的這一特性,靜默或誘騙用戶安裝其客戶端,并在后臺對用戶實施監控和遠程控制。新變種還具有主動攻擊安全軟件的功能,試圖通過模擬用戶鼠標鍵盤操作關閉防病毒軟件。
危害性:“銀狐”木馬背后主要是黑客組織和網絡犯罪團伙,他們利用惡意軟件來實施網絡攻擊,竊取企業的敏感數據和財產信息;控制被害者社交賬號,對外發布不實的反動、色情等信息,以此來要挾受害者交出金錢等財物;還可能冒充企業高層或客戶,發送虛假的財務需求,誘導財務人員執行大額轉賬,導致企業遭受巨額經濟損失。
如何防范“銀狐”木馬
1、 企業辦公人員、財務人員一定要提高警惕,盡量不添加、不進入陌生IM聊天群。群內帶有附件的、引誘性的聊天信息要禁點;如收到帶有稅務稽查、稅務局二維碼、財稅信息鏈接等誘導性內容的陌生人郵件,要格外小心,不點擊,不下載;在正規辦公軟件官網下載軟件,避免下載過程中安裝了偽裝后的“銀狐”木馬程序。
2、企業辦公人員的系統中要安裝好殺毒軟件,并及時更新病毒庫,避免木馬變種程序攻擊辦公電腦;定期備份重要數據,制定應急響應計劃,確保在受到木馬病毒攻擊時,能夠迅速恢復正常運營。
3、如企業網絡發生類似的社工攻擊、IM攻擊,可與安博通安服團隊及時聯系,團隊將提供專業的應急響應服務,為企業降低事件損失,助力構建和維護網絡安全體系,為企業網絡安全保駕護航。
