近日,火绒收到反馈,浙江地区多家医院外网电脑遭受远控木马攻击,医院终端安全遭受严重威胁,更有多人遭受不同程度的财产损失。
经专项小组调查发现:该木马病毒通过钉钉、浙政钉、微信等即时聊天工具,以具有欺骗性文件名的钓鱼文件形式进行传播。
诱导用户点击伪造文件或扫描仿冒钓鱼二维码,达到远程控制用户电脑或者手机的目的。然后不法分子利用受控设备建群,进行多次传播。
“银狐”木马传播方式
“银狐”木马在传播过程中展现出高度的社工性和灵活性,以下是其主要传播途径:
1.定向政企财务钓鱼邮件
邮件伪装:通过伪装成看似合法的发件人身份(如供应商、合作伙伴或客户)发送含有恶意附件或链接的邮件。这些附件通常以PDF、Word、Excel等常见文档格式出现,并会利用社会工程手段诱使受害者将其打开。
宏代码攻击:如果附件是Office文件,则常常嵌入有恶意宏代码。一旦启用宏功能,这些恶意脚本就会被执行,进而下载和安装木马程序。
2.伪造应用下载网页并推广
假冒合法应用:创建高仿的应用下载页面,伪装为热门工具、游戏或办公软件,诱骗受害者下载含有木马的应用程序。
搜索引擎广告投放:通过购买广告位或优化搜索引擎排名,使伪造页面出现在搜索结果前列,从而提高受害者下载恶意程序的概率。
3.网页挂马
水坑攻击:在政企人员频繁访问的网站或论坛中植入恶意代码,受害者一旦访问,浏览器会自动下载并执行木马程序。
广告劫持:利用恶意广告注入技术,在正常网页的广告弹窗分发木马。
4.色情信息诱导
诱导下载:利用伪装成色情视频、图片等资源的链接和附件,引诱受害者下载恶意文件。
钓鱼网站:搭建钓鱼网站并将其伪装成色情网站,受害者在访问或尝试下载内容时会被植入木马。
5.游戏资源传播
盗版游戏私-Fu:通过私-Fu游戏客户端或外{过}{滤}挂工具捆绑木马程序,吸引受害者下载。
论坛分享:在游戏论坛或社群中发布伪装成游戏补丁、福利资源的木马程序,诱导受害者下载。
6.常见web Nday漏洞
已知漏洞攻击:利用受害者使用的网站中常见的Nday漏洞(如Struts2、Log4j、WebLogic等)直接植入木马,入侵受害者系统。
工具化攻击:借助自动化漏洞扫描工具批量检测受害者系统,并在漏洞存在时植入恶意程序。
7.社交信息
键盘和鼠标劫持:通过木马获取受害者设备的控制权限,利用受害者的社交软件(如微信、企业微信、Telegram)向其联系人群发恶意链接或文件,达到木马传播的目的。
信任链攻击:伪装为受害者本人发送的消息,增强恶意链接的可信度,从而扩散木马传播。
8.供应链
软件更新劫持:通过入侵第三方软件库,篡改其中的更新包或安装包,将木马伪装为合法软件的部分功能,借助供应链传播至受害者系统。
外包或合作渠道渗透:利用受感染的外包服务商或合作伙伴的程序或系统,以共享文件或系统集成为媒介传播木马。
火绒提醒广大用户:切勿轻信不明来源文件及信息,及时安装安全软件并定期进行查杀。
目前,火绒产品能够有效识别此类银狐木马,保障用户系统的安全,请广大个人及企业用户及时更新病毒库以提高防御能力。
扫一扫
1638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
