我國境內再次捕獲發現針對我國用戶的“銀狐”木馬病毒的最新變種。在本次傳播過程中,攻擊者繼續通過構造財務、稅務違規稽查通知等主題的釣魚信息和收藏鏈接,通過微信羣直接傳播包含該木馬病毒的加密壓縮包文件,如圖1所示。
圖1 釣魚信息及壓縮包文件
圖1中名爲“筆記”等字樣的收藏鏈接指向文件名爲“違規-記錄(1).rar”等壓縮包文件,用戶按照釣魚信息給出的解壓密碼解壓壓縮包文件後,會看到以“開票-目錄.exe”“違規-告示.exe”等命名的可執行程序文件,這些可執行程序實際爲“銀狐”遠控木馬家族於12月更新傳播的最新變種程序。如果用戶運行相關惡意程序文件,將被攻擊者實施遠程控制、竊密等惡意操作,並可能被犯罪分子利用充當進一步實施電信網絡詐騙活動的“跳板”。
本次發現攻擊者使用的釣魚信息仍然以僞造官方通知爲主。結合年末特點,攻擊者刻意強調“12月”“稽查”“違規”等關鍵詞,藉此使潛在受害者增加緊迫感從而放鬆警惕。在釣魚信息之後,攻擊者繼續發送附帶所謂的相關工作文件的釣魚鏈接。
對於本次發現的新一批變種,犯罪分子繼續將木馬病毒程序的文件名設置爲與財稅、金融管理等相關工作具有密切聯繫的名稱,以引誘相關崗位工作人員點擊下載運行,如:“開票-目錄”“違規-記錄”“違規-告示”等。此次發現的新變種仍然只針對安裝Windows操作系統的傳統PC環境,犯罪分子也會在釣魚信息中使用“請使用電腦版”等話術進行有針對性的誘導提示。
本次發現的新變種以RAR、ZIP等壓縮格式(內含EXE可執行程序)爲主,與之前變種不同的是,此次攻擊者爲壓縮包設置瞭解壓密碼,並在釣魚信息中進行提示告知,以逃避社交媒體軟件和部分安全軟件的檢測,使其具有更強的傳播能力。木馬病毒被安裝運行後,會在操作系統中創建新進程,進程名與文件名相同,並從回聯服務器下載其他惡意代碼直接在內存中加載執行。
回聯地址爲:156.***.***.90,端口號爲:1217
命令控制服務器(C2)域名爲:mm7ja.*****.cn,端口號爲:6666
網絡安全管理員可根據上述特徵配置防火牆策略,對異常通信行爲進行攔截。其中與C2地址的通信過程中,攻擊者會收集受害主機的操作系統信息、網絡配置信息、USB設備信息、屏幕截圖、鍵盤記錄、剪切板內容等敏感數據。
本次發現的新變種還具有主動攻擊安全軟件的功能,試圖通過模擬用戶鼠標鍵盤操作關閉防病毒軟件。
臨近年末,國家計算機病毒應急處理中心再次提示廣大企事業單位和個人網絡用戶提高針對各類電信網絡詐騙活動的警惕性和防範意識,不要輕易被犯罪分子的釣魚話術所誘導。結合本次發現的銀狐木馬病毒新變種傳播活動的相關特點,建議廣大用戶採取以下防範措施:
不要輕信微信羣、QQ羣或其他社交媒體軟件中傳播的所謂政府機關和公共管理機構發佈的通知及相關工作文件和官方程序(或相應下載鏈接),應通過官方渠道進行覈實。
帶密碼的加密壓縮包並不代表內容安全,針對類似此次傳播的“銀狐”木馬病毒加密壓縮包文件的新特點,用戶可將解壓後的可疑文件先行上傳至國家計算機病毒協同分析平臺(https://virus.cverc.org.cn)進行安全性檢測,並保持防病毒軟件實時監控功能開啓,將電腦操作系統和防病毒軟件更新到最新版本。
一旦發現電腦操作系統的安全功能和防病毒軟件在非自主操作情況下被異常關閉,應立即主動切斷網絡連接,對重要數據進行遷移和備份,並對相關設備進行停用直至通過系統重裝或還原、完全的安全檢測和安全加固後方可繼續使用。
一旦發現微信、QQ或其他社交媒體軟件發生被盜現象,應向親友和所在單位同事告知相關情況,並通過相對安全的設備和網絡環境修改登錄密碼,對自己常用的計算機和移動通信設備進行殺毒和安全檢查,如反覆出現賬號被盜情況,應在備份重要數據的前提下,考慮重新安裝操作系統和防病毒軟件並更新到最新版本。