“银狐”木马,是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙频繁利用钓鱼邮件、虚假发票、伪造的政府通知等社会工程学手段,将远控木马悄然植入用户电脑,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为。
市面上许多检测方法要么过于依赖技术(查看进程、分析代码),让普通用户望而却步;要么基于“可疑”特征,容易造成“草木皆兵”的恐慌。瑞星为广大用户制作了简易的自查手册,帮助用户快速排查自己的设备是否已经感染了“银狐”木马。只要按照以下步骤操作,若出现描述中的现象,即高度疑似感染“银狐”木马
瑞星威胁情报平台近期捕获到一个高度仿真的恶意安装包(FakeApp)。该样本不仅捆绑了臭名昭著的银狐木马,其内置的所谓正常程序实质上也是一款涉嫌商业欺诈的李鬼软件。
一旦用户运行程序,内嵌的恶意载荷会直接加载至内存执行。载荷随后以系统服务形式常驻,获取高权限后与远程服务器通信以窃取敏感数据。与传统样本不同,该样本携带的OpenClaw本地部署工具极具迷惑性——它将原本免费开源的项目通过技术封装变为收费模式,通过诱导用户付费实现二次牟利。
2025年6月,瑞星安全研究团队接收并分析了来自国内某政府单位提交的可疑邮件附件样本。经过深度技术分析和威胁情报关联,确认该攻击活动的技术特征、战术技法(TTP)以及基础设施指纹与已知的高级持续性威胁(APT)组织"蔓灵花"(BITTER)高度匹配。
此次攻击遵循了蔓灵花组织的典型攻击模式:攻击者通过精心设计的鱼叉式网络钓鱼邮件作为初始攻击向量,投递包含恶意编译HTML帮助文件(CHM)的压缩包载荷。该CHM文件内嵌恶意HTML文档,利用点击劫持(Clickjacking)技术绕过用户交互检测,实现代码的自动化执行。当目标用户在受信任环境下打开该文件时,嵌入式JavaScript脚本会被立即触发执行。
恶意脚本的核心功能是建立持久化机制:通过调用Windows任务计划程序(Task Scheduler)创建定时任务,实现在受害主机上的长期驻留。该计划任务被配置为每16分钟向预设的命令与控制(C2)服务器发起HTTP请求,以接收远程指令并通过命令行管道机制执行,从而建立起完整的远程控制通道。
蔓灵花组织是一个具有明确地缘政治动机的高级持续性威胁行为体,据开源情报分析疑似起源于南亚地区。该组织自2013年首次被安全研究人员识别以来,持续保持高度活跃状态,其攻击目标主要集中在中国、巴基斯坦等地区的战略性目标,包括政府机构、军事部门、能源基础设施以及其他关键信息基础设施。从攻击目标选择和数据窃取偏好来看,该组织的攻击活动具有明显的国家支持背景和情报收集目的,其最终目标是通过网络间谍活动获取目标国家和机构的敏感信息、机密文档以及战略情报数据。
近日,WinRAR官方发布了新版本,版本号为7.12 beta1,其中修复了一个安全漏洞(漏洞编号为CVE-2025-6218),该漏洞仅影响Windows版本。用户在解压攻击者精心构造的压缩包时可导致包含特殊路径的文件被解压至预期之外的目录,这可能导致攻击者在用户设备上执行恶意代码