股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
银狐木马肆虐,一天200+变种!TrustOne如何3分钟“猎狐”?
发布时间 :2025年09月11日
类型 :公司新闻
分享:
近期,新型高危木马“银狐”肆虐网络,通过钓鱼邮件、恶意链接等方式渗透企业系统,IM、邮件、浏览器等入口已成社工钓鱼泛滥区。窃取核心数据、加密文件勒索,甚至建立长期隐蔽控制通道,威胁金融、医疗、制造等多行业安全。面对这一“狡猾”威胁,威尼斯432888cam提供TrustOne一体化“猎狐”治理方案,事前主动控,事中闭环防,事后稳运营,助企业化“危”为“安”!
以诈骗为代表的勒索分支:
“银狐”木马
2025年8月12日,上海浦东新区发生一起高度隐蔽的诈骗案件:某公司员工刘女士被冒充高管的诈骗分子通过“飞书”群诱导,向所谓“合作方”转账。事后经警方侦查发现,诈骗者实则是通过远程操控其同事电脑投植木马,冒充内部人员实施诈骗,整个过程如“透明人”作案,极具迷惑性。
影响范围:
截止目前已经超1000家国内头部客户被实施诈骗活动/双重勒索,累计造成经济损失超20亿+。主要针对企事业单位管理、财务、销售等从业人员。
事件分析:
通常将研发的木马病毒伪装成报税工具、电子发票、涉税文件等,通过发送电子邮件、钓鱼网站及微信、QQ 等即时通讯软件传播,诱骗企业人员点击下载,从而实施木马攻击。
一旦被木马病毒入侵,诈骗分子即可对电脑远程监控,进而通过办公文件、聊天记录等信息“精准”分析出企业基本情况和财会、管理、销售等人员信息。
通过远程控制财会等人员的QQ、微信等社交软件,在本人未发觉的情况下,将用于诈骗的账号添加至其好友列表伪装成该企业老板或客户的QQ、微信,编造多种理由要求财会等人员转账汇款,从而实施诈骗。
银狐为什么难杀?
更新快,变种多样:
一天内多次变种,攻击团伙不断更新模板版本,大大增加检测和防御难度。
文件格式繁杂,擅长伪装:
利用多种常用文件类型进行传播和感染;伪装成常用软件、诱导性文件名,降低防范意识。
Office、PDF、EXE、MSI、DLL、JPG、微信、压缩软件、远程软件……
后缀伪装、图标伪装 ……
免杀方式多,绕过检测:
采用多种免杀技术来躲避安全软件的检测和清除,如白加黑、加密payload、内存加载等。
这些免杀手段使得木马能够在系统中长期潜伏,不被用户或安全软件发现。
攻击手段复杂:
即时通信软件(IM)、钓鱼邮件、钓鱼网站、虚假软件伪装、诱惑点击。
攻击团伙会根据不同IP或时间段,分地分时地发布针对性样本,进行针对性攻击或对抗安全测试分析。
针对特定人群,明确的利益驱动:
企事业单位管理人员、财务人员、销售人员、电商卖家等。
通过钓鱼攻击、伪造软件等手段,诱导受害者点击并执行恶意代码,进而获取其计算机控制权限。
传播量大:
利用社交网络裂变传播。
以「工作汇报」「客户资料」等名义向好友或群组发送伪装文件。
银狐木马攻击流程介绍
传播方式灵活多样,利用社会工程学精准攻击:银狐样本通过钓鱼邮件和即时通讯工具等社会工程学的方式,诱骗受害者上钩,利用工作群信任链加速传播。
运用免杀与隐蔽技术,提升检测难度:当恶意样本落盘后,黑客通过基于多次打包,魔改Loader和白加黑的方式,绕过杀毒软件的实时扫描。或利用无文件攻击的手段,释放恶意的CHM文件或者是VBE文件,在内存中加载恶意的shellcode来下载恶意载荷并且执行。
变种速度极快,杀毒有心无力:当代“卷王”版本持续升级,不到一年的时间里,在攻击方式,攻击组件部署方式,恶意样本投递方式上迭代6大版本,每日产生超 200 个变种。
把 “坏东西” 藏在 “好东西” 里
用 “好东西” 的正规身份骗过安检(杀毒软件)
等 “好东西” 正常运行后
再偷偷把 “坏东西” 放出来搞破坏
“坏东西” 是 “按需激活”
不是 “主动暴露”
传统防护手段
为什么无法有效应对银狐?
传统防护是 “守着已知的门防已知的贼”,而银狐是 “换着衣服、走用户开的门、在屋里隐身作案的贼”,二者的对抗不在一个维度,自然难以应对。
既然银狐木马很难杀
威尼斯432888cam应该如何正确绞杀银狐木马?
关上 “人为大门”不让银狐进来
薄弱点全面排查,堵缺口+补缺口+固缺口
构建入口防线
实现事前关口前移+自动化防御
识破”免杀伪装“不让银狐得手
有效识别后缀伪装、图标伪装、
内存专项检测等高对抗攻击手段
银狐威胁终端一键处置、
可视化溯源彻底根除
分享到微信
X