江苏
关键词
黑产
一、活动概述
- 发布单位
国家互联网应急中心(CNCERT)与安天科技。
- 黑产团伙
又称“银狐”、“谷堕大盗”、“UTG-Q-1000”,主要攻击目标为Chrome浏览器用户。
- 主要行为
伪造Chrome浏览器下载站,诱导用户下载恶意软件,从而植入远控木马,窃取敏感数据。
- 感染规模
每日境内肉鸡数最高超过1.7万,累计约12.7万台设备感染。
伪造网站:
攻击者通过SEO推广伪造的Chrome浏览器下载站,站点与正版高仿,难以识别。
-示例网站包括图1和图2,及其它多个钓鱼网站。钓鱼网站示例1
钓鱼网站示例2
恶意下载包:
用户下载的安装包名为“chromex64.zip”,包含潜在的恶意程序。
解压后文件名采用日期格式编码,伪装正常程序。
安装后行为:
安装程序释放旧版本Chrome浏览器文件,导致无法正常更新。
在桌面创建快捷方式,在后台运行恶意文件,启动浏览器掩饰恶意行为。
每日上线肉鸡数:
2025年4月23日至5月12日期间,每日上线肉鸡数最高达1.7万余台。
C2日访问量最高达到4.4万条。
累计感染:
累计约12.7万台设备受感染,数据仍在增加。
- 钓鱼网站诱导
:用户通过搜索引擎 clicking 钓鱼链接,进入假冒Chrome下载站。
- 下载恶意包
:用户下载“chromex64.zip”,解压并运行后释放恶意文件。
- 远控木马植入
:恶意程序连接到C2地址(如duooi.com:2869),允许多远程控制设备。
- 数据窃取
:攻击者通过远控木马窃取用户敏感信息,进行诈骗等活动。
下载软件:
- 正版来源
必须从官方网站或可信来源下载软件。
- 安全检查
下载后用杀毒软件扫描并校验文件HASH,确保文件安全。
- 正版来源
谨慎点击:
不要随意点击来历不明的链接,不 要安装未知来源的软件。
密码管理:
- 强化密码
设置16位以上的复杂密码,包含大小写、数字和符号。
- 定期更换
避免使用相同密码,定期更新密码,防止被破解。
- 强化密码
资产管理:
梳理现有设备和系统,及时修复已知的安全漏洞,减少攻击面。
安全软件:
安装可靠的终端防护软件,定期运行全盘扫描,及时消除威胁。
感染处理:
如果发现设备被感染,立即确认受控情况和入侵途径,及时清理木马程序。
样本MD5:
A1EAD0908ED763AB133677010F3B9BD7
ED74A6765F2FFEE35565395142D8B8B4
10FAC344D2F74D47FF79FE4A6D19765E
恶意IP:
104.233.164.131
61.110.5.21
137.220.131.139
137.220.131.140
恶意域名:
hiluxo.com
titamic.com
simmem.com
golomee.com
duooi.com
sadliu.com
恶意URL:
http://google-chrom.cn
https://google-chrom.cn
https://chrome-html.com
https://am-666.com
https://chrome-admin.com
https://zhcn.down-cdn.com/chromex64.zip
https://cdn.downoss.com/chromex64.zip
https://oss.downncdn.com/chromex64.zip
https://cdn-kkdown.com/chromex64.zip
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
