银狐木马服务端探索及近期在野样本分析

概述

银狐木马,又名毒鼠谷堕游蛇,是近年来国内非常流行的一个远控木马。主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为

银狐木马在2024年仍保持着高度活跃且不断尝试使用新的技术来躲避安全软件检测甚至是直接攻击安全软件,如利用PoolParty技术注入恶意代码至系统进程以及利用包含漏洞的正常驱动结束安全软件进程。瑞星在近段时间的威胁狩猎中意外获得了多个银狐木马的服务端程序,虽然捕获到的服务端版本相对较老,但也能让我们从另一个角度来了解银狐木马。本文除了大致介绍服务端之外,还会对近期的在野样本进行较为深入的分析

黑灰产借《黑神话:悟空》之名传播信息窃取木马

黑灰产借《黑神话:悟空》之名传播信息窃取木马

概述

  近日瑞星威胁情报平台捕获到一起伪装《黑神话:悟空》安装包传播木马的攻击事件,企图诱骗用户下载安装,运行安装包后实际会运行攻击者部署的恶意代码而非游戏安装程序。经分析相关恶意文件为LummaC2信息窃取木马。LummaC2是一款使用C++开发的信息窃取木马,自2022年8月以来,它在俄语论坛上以恶意软件即服务(MaaS)的形式运营。该恶意软件由恶意软件开发者使用Lumma化名创建,目标是加密货币钱包、浏览器双重身份验证(2FA)扩展、登录凭据以及受害者机器上的其他敏感数据,我们可以在黑客论坛中找到其发布的广告。

FormBook钓鱼攻击事件分析

概述

  2023年7月末客户反馈收到可疑邮件,经确认最终执行的是FormBook 4.1版本窃密木马,FormBook是一款非常活跃的商业窃密木马,经常通过广撒网式投递钓鱼邮件,其主要由C#编写的加载器和C或汇编语言编写的核心PE程序组成,加载器采用套娃模式执行PE程序,PE程序无任何直接的API调用,无法静态分析,其代码包含各种反调试、反沙箱操作,对抗分析强度极大。

警惕!银狐木马再现新手法

概述

  近日瑞星威胁情报平台捕获到一起银狐木马的攻击事件,发现该木马最近再次更新了攻击手法,故此针对此次捕获的样本进行分析说明。银狐木马主要通过钓鱼网页、即时通讯软件、通过竞价排名伪装常用软件诱导下载等方式进行传播,主要针对企事业单位的财务、会计、销售等职工以获取非法利益,其攻击手法比较多变而且更新频繁一切目的只为加载最终载荷以实现对目标计算机的远程控制,以实施下一步的诈骗步骤,本次捕获样本便是我们监控到的其最新攻击活动。