HTTPS隧道里的银狐:一次DoH隐蔽通信木马的全链路分析

概述

  近日 瑞星威胁情报平台 捕获到一起银狐木马的攻击事件,该木马将自身包装为雷电模拟器安装包,以篡改的 INNO Setup 程序作为初始投递载体,通过白加黑 DLL 劫持逐层解密释放银狐木马本体。该变种最显著的特征是采用了DNS-over-HTTPS(DoH)隐蔽通信——将 C2 域名 oidng2.duoshit.com 的解析请求封装在 HTTPS 中发往阿里 DNS(223.5.5.5)和 Google DNS(8.8.8.8)的 DoH 端点,使恶意流量与正常公共 DNS 访问完全无法区分,从而绕过企业 DNS 监控和防火墙策略。银狐本体还具备 VMProtect 虚拟化保护、键盘记录、凭据窃取、进程注入、屏幕截图、权限提升及多重持久化等完整的后门远控能力。

隐匿的“文函”——银狐新变种样本分析报告

概述

  近期,瑞星安全团队接到用户反馈,样本经分析为一个采用Rust语言开发的银狐木马。该样本是一款多层链式部署的远控木马程序,伪装成名为文函.exe的普通文档程序,以降低用户警惕性。样本内置完善的环境检测逻辑,能够自动规避虚拟机、调试器及主流安全软件环境;成功落地后,通过添加Windows Defender扫描排除项实现查杀绕过,并依托系统合法进程backgroundTaskHost.exe完成无文件进程注入,实现持久化驻留。其C2服务地址为gawdkl.fit,支持包括主机信息采集、屏幕截图、键鼠模拟、文件传输、注册表篡改、服务创建、摄像头/音频捕获等在内的完整远控功能,可窃取聊天软件记录、剪贴板内容、系统配置等敏感数据。

从剪贴板到内存:ClickFix组合攻击的纵深剖析与地域化投递

概述

  近期,瑞星威胁情报平台发现一起利用SEO投毒 + ClickFix组合技术进行初始投递的定向攻击事件。攻击者通过操纵搜索引擎排名,将恶意站点推送至搜索结果前列,诱骗用户访问。随后利用ClickFix技术伪装人机验证,诱导用户在终端中粘贴并执行恶意命令,最终在受害者主机中植入远控木马和信息窃取器。

2026年6月:TransparentTribe组织针对印度陆军北部司令部的攻击事件

概述

  近日,瑞星威胁情报平台发现了一起由TransparentTribe组织针对印度陆军北方司令部的攻击活动。捕获的样本名为PPT for Breifing at HQ Norther Command.pptx.lnk,伪装成印度北方司令部简报的PPT文件快捷方式。该LNK文件通过调用cmd.exe以最小化窗口启动批处理脚本(excel.bat),释放诱饵PPT文档以迷惑用户感知,同时利用硬链接和注册表Run键将自定义.NET远控木马CrimsonRATjrnswry acrhyis.exe)部署至受害主机并建立持久化,通过与C2服务器通信从而实现屏幕监控、文件窃取、命令执行和远程控制。