神秘病毒撒网钓鱼 上演远程控制戏码 企业员工成黑产靶标

“2024年度税务稽查结果”“财会人员薪资补贴调整新政”“一季度事业部涨薪名单”……收到这样的文件或链接，你是会怀疑，还是会点击？

安全419关注到，近日，在新加坡亚洲新闻台（Channel News Asia）播出的一期反诈节目中，正是以类似案件为例，为我们揭开了这些现象背后的秘密。

神秘病毒撒网钓鱼 上演远程控制戏码

节目中，一位财务人员在工作时发现微信自动添加了一位陌生好友，并将与老板的聊天记录删除，随后将新好友的头像及昵称都改成与老板一模一样的。“这人可能会冒充老板要求转账”，于是她马上汇报此事并重装了电脑。而另一位建筑设计师在工作午休时发现手机自动挂断了好友来电，通过翻看微信得知在十几分钟内开启免打扰模式并自动联系了多位好友借钱，用语习惯与本人相差无几。“难道我被盗号了”，他赶紧联系好友止付并报警。

被害人微信被远程控制

之所以会发生这些令人迷惑的自动操作，其实是受害者的设备早已被植入了木马。财务人员在入职初期通过邮箱下载了一份发票附件，建筑设计师则是在几百人的微信群中点击过一则明星花边新闻，因此被悄无声息地安装了木马程序。

在节目的案件分析中，来自微步在线的安全专家介绍道，受害人点击的文件是一种远控木马，名为“银狐”，自2023年3月被微步在线首度命名，且在这一年内经历多次迭代衍生出上百个变种。其通过即时通信工具、邮件以及伪造工具网站的方式，面向金融、教育、电商、设计等各行业的工作人员等发起钓鱼攻击，诱导下载并执行远控木马。在获得设备控制权限后会在其系统内长期驻留，并监控用户日常操作，待时机成熟时，便会利用受感染设备中已登录的聊天工具发起诈骗。

微步在线安全专家解读“银狐”木马作案

“银狐”木马如何投毒 专家解析黑产套路

虽说冒充老板等诈骗手段已是老生常谈，但时至今日，新型木马通过灵活多变的传播方式以及难以被检测的执行过程，依然让大众频频中招，受害者背后的亲友、公司往往成为更大的受损对象，隐私、金钱、核心资产、信誉命悬一线。

如今的钓鱼攻击发展到什么程度，会造成什么严重影响，个人及公司应该怎么防范……带着这些问题，我们联系到微步在线安全专家，为大家进一步拆解愈演愈烈的安全威胁。

据介绍，“银狐”之所以广泛传播、行为神隐而且一招毙命，经综合研究，这是一个已经被广泛地去中心化传播的黑产工具，任何攻击者都可以获取和使用，目前检测到的活跃且被公开的团伙多达9个，还有更多不知名或未公开黑产在持续使用，推动实现网络犯罪武器化。

其改写自开源的Gh0st木马，源码结构与很多经典的远控木马别无二致，在功能上，可提供维持后门、接受命令的上线模块和包括查注册表、差异屏幕、代理映射、服务管理、后台屏幕、急速搜索、键盘记录、语音监听、远程终端等在内的功能模块。且控制架构非常稳定，可以实现成千上万被控端的稳定上线，代码注释丰富清晰，易于改写免杀。黑产团伙可通过多种方式快速构建给企业对应的免杀木马，一旦成功执行，即可下载该木马实现对终端的长期、隐蔽的控制。

在传播上，除了凭借技术手段进行自动化投递，对社会工程学的利用更是“银狐”的独到之处。它利用熟人之间的信任惯性，通过控制和冒充的方式，利用大量的“下游攻击者”专门从事木马的“人工”传播：随着被控制的人越来越多，可用于进一步控制和木马扩散的受害者也越来越多，一传十，十传百，影响范围急速裂变。

在获利及变现方式上，相关黑产团伙主要通过“银狐”建立的肉鸡网络，筛查高价值失陷主机，再由下游的攻击者通过诈骗、贩卖信息等手段变现，并在此过程中借机进行木马进一步扩散。

企业员工已成木桶短板 办公网安全亟需被重视

如节目案例所示，虽然黑产团伙通过广撒网的形式进行投毒，但狙击目标大多是企业员工，利用其社会关系链和岗职特征权限实施作案并二次传播，伪装度高，技术性强。毫无疑问，办公网已经成为各类网络攻击最便捷的突破口之一，只要拿下企业员工的PC、获取相应权限，就有机会毫无痕迹地不断深入，甚至触达核心服务器。

微步在线安全专家对此进一步阐释，办公网面临的风险敞口和威胁来源，除了员工不当浏览和下载行为引发的后续攻击，包括：钓鱼邮件、社交网络钓鱼、点击带毒网页、下载非合规文件或程序引发后续恶意代码执行等；较为常见的威胁还有围绕软件国产化等环境带来的漏洞爆发和利用，这属于供应链攻击；以及被用于商业间谍活动、敏感资产勒索的0day攻击等。

攻击团伙为了躲避安全检测和防护更是花招频出，比如滥用合法签名进行白加黑利用、模拟鼠标点击运行恶意程序、内存多阶段解密Payload执行恶意功能等等，让传统的基于文件检测技术的终端杀毒软件力不从心。因此，微步在线安全专家郑重提醒，办公网的薄弱环节和风险点需要被重视，通过在流量和终端侧引入新安全技术予以有效防范和检测。

安全419进一步获悉，为了帮助企业认识并有效应对黑产攻击、供应链攻击、0day攻击等办公网面临的主要威胁，即将于4月11日召开的CSOP 2024 网络安全运营实战大会·北京站，微步在线技术合伙人黄雅芳将为大家带来《供应链、0day、黑产带来的办公网安全挑战》主题分享，深入剖析攻击手法及后果，给出基于办公网安全的创新解法。