- 获取链接
- X
- 电子邮件
- 其他应用
👉近期,国内黑灰产团伙频繁利用 搜索引擎优化 (SEO) 劫持技术,伪造常用工具官网如:火绒、360浏览器、夸克、爱奇艺、汽水音乐、迅雷、小红书等,分发 银狐木马 (Silver Fox Trojan)。该木马主要针对金融、财务及普通办公人员,具备极强的隐蔽性与对抗能力。
1、已知恶意域名清单 (Malicious Domains Audit)
黑产团伙通过注册与原域名高度相似的字符,诱导用户下载安装包:
| 软件名称 | 官方唯一真域名 | 已发现的假域名/钓鱼特征 | 恶意特征简述 |
|---|---|---|---|
| 火绒安全 | huorong.cn | huorongh.com / huorong-vip.com | 诱导用户关闭原生防御,植入驱动级 Rootkit。 |
| WPS Office | wps.cn | wpsice.com / wps-office.cn | 利用“白加黑”加载恶意 DLL,窃取企业机密文档。 |
| ToDesk | todesk.com | todesk-cn.cn / todesk-down.com | 远程控制类重灾区,安装后即获得宿主机完全权限。 |
| 爱奇艺 | iqiyi.com | global-iqiyi.com / iqiyi-tv.net | 针对个人用户,通过“免费会员”诱导下载,盗取支付账号。 |
| 有道翻译 | youdao.com | youdao-down.com / fanyi-youdao.cn | 假冒安装包捆绑 ValleyRAT (银狐变种),监控屏幕。 |
| 迅雷 | xunlei.com | xunlei-v.com / xunleiz.com | 假冒“极速版”或“免广告版”,劫持浏览器主页。 |
| 夸克浏览器 | quark.cn | quark-pc.cn / quark-down.net | 假冒电脑版下载,实则为木马加载器。 |
| 美图秀秀 | meitu.com | meitupc.cn / meitu-app.com | 针对女性/设计师群体,利用图片隐写技术隐藏载荷。 |
| 小红书 | xiaohongshu.com | xhs-pc.com / xiaohongshupc.cn | 利用 PC 客户端需求进行社工钓鱼。 |
| 360安全卫士 | 360.cn | 360-jijiu.com / 360-vip.cn | 假冒“系统急救箱”,反向清除正版杀软。 |
2、技术特征分析
- 白加黑利用 (DLL Side-Loading): 利用带有合法签名的可执行文件(如旧版 WPS 或常用组件)加载恶意 DLL,绕过传统 启发式扫描 (Heuristic Analysis)。
- 快速迭代: 木马变种更新速度极快,免费版杀毒软件在没有获取 样本本体 (Virus Samples) 的情况下,难以通过特征码识别。
- 后门功能: 包括但不限于键盘记录 (Keylogging)、屏幕监控 (Screen Monitoring)、文件窃取、以及内网横向移动 (Lateral Movement)。
🤗 识别防护
1. 域名后缀与备案审计
- 红旗警示 (Red Flags): 假网站通常使用
.com还有一些不常见的后缀的域名如:.xyz .cc等等(便宜且好注册)或故意模仿.cn.cn这种奇怪后缀。 - 操作技巧: 可以使用站长工具 查询 ICP 备案或者使用我提供的两个插件一键查询。真官网的备案主体是公司名(如:北京珠海金山办公软件有限公司);假官网往往没有备案,或者备案主体是个人,甚至域名注册地在海外。
2. 证书签名对比 (Digital Signature)
- 真软件: 必须有公司全名的数字签名(如 "Beijing Huorong Network Technology Co., Ltd.")。
- 银狐木马: 经常没有签名,或者签名已失效,甚至窃取过期的签名。演示右键属性-数字签名,如果显示“此签名无效”,100% 是木马。
3. 文件体积与 DLL 组件
- 异常特征: 银狐木马为了绕过扫描,安装包通常会注入大量脏数据 (Garbage Data) 使其体积膨胀到数百 MB,或者内含大量命名的随机文件。
- 白加黑利用: 观察安装目录,如果出现非官方的
libcef.dll、version.dll或winmm.dll被异常修改,基本可以判定为 DLL 侧加载 (DLL Side-Loading) 攻击。
🤗 硬核自救
- 断网!断网!断网!(切断 C2 命令控制通道)。
- 查进程 (Process Explorer): 寻找异常加载的白进程(如 WPS、Chrome 运行在异常路径下)。
- 彻底查杀: 视频中重点推荐 360 系统急救箱 (强力模式) 或 火绒专杀工具。
- 资金保护: 即使杀毒成功,也要立即去手机端修改网银、微信、支付宝密码,因为银狐木马大概率已经记录了你的键盘输入。
- 推荐使用 **360 系统急救箱 (360 System First Aid Kit)** 强力模式,在非 PE 环境下进行驱动级扫描。
推荐
微软store:https://apps.microsoft.com/
火绒store:https://www.huorong.cn/appstore
360软件宝库:https://baoku.360.cn/
- 获取链接
- X
- 电子邮件
- 其他应用
评论
发表评论