作为近年来在国内猖獗的远控木马家族,银狐木马从一开始就将仿冒网站结合FakeApp(伪装成正常软件安装包,运行后除了正常执行对应软件的安装程序外还会激活内嵌的恶意程序)作为其主要传播手段之一。一开始它仿冒的软件只有一些国内无法通过常规途径获取的软件,之后它将仿冒的触手伸向了更多的知名软件,且在安装包上不断地尝试更多的方案以绕过安全软件的静态扫描同时对抗人工分析。
对于获取FakeApp前必须访问的仿冒网站而言,搜索引擎为其主要传播途径。攻击者利用SEO以及直接在搜索引擎上投放广告等手段,来使仿冒网站排名靠前,诱导用户点击访问
瑞星在2025年对这一传播手段进行了一整年的追踪分析与数据统计,本文首先将对一些统计数据进行展示与分析,随后会对三个使用较为新颖的手法对抗静态扫描和人工分析的案例进行更深入的分析。
近日 瑞星威胁情报平台 捕获到一起银狐木马的攻击事件,由于该样本存在较多对抗杀毒软件及EDR的手段,故此针对此次捕获的样本进行分析说明。
银狐木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播,通过钓鱼、即时通讯软件传播的木马文件名称通常包含发票、税务、补贴、通知、薪资等极具诱导性的字眼,以诱导用户打开,木马运行后会联网下载真正的木马病毒,进而攻击者利用远控木马监控用户日常操作,获取隐私信息等。
银狐木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析
银狐木马,又名毒鼠、谷堕、游蛇,是近年来国内非常流行的一个远控木马。主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马,获得受害者的计算机控制权限,在系统内长期驻留,监控用户日常操作,窃取敏感信息,利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息,实施钓鱼攻击和诈骗等违法行为
银狐木马在2024年仍保持着高度活跃且不断尝试使用新的技术来躲避安全软件检测甚至是直接攻击安全软件,如利用PoolParty技术注入恶意代码至系统进程以及利用包含漏洞的正常驱动结束安全软件进程。瑞星在近段时间的威胁狩猎中意外获得了多个银狐木马的服务端程序,虽然捕获到的服务端版本相对较老,但也能让我们从另一个角度来了解银狐木马。本文除了大致介绍服务端之外,还会对近期的在野样本进行较为深入的分析