软件下载竟中招？一场精心伪装的“中文陷阱”正在威胁你的数据

作者系Fortinet中国区技术总监张略

近日，Fortinet全球威胁研究与响应实验室（FortiGuard Labs）监测到一起针对中文用户的大规模SEO (Search Engine Optimization) 投毒攻击活动，涉及仿冒DeepL等知名软件的虚假网站、高度混淆的恶意攻击载荷及多阶段攻击链。Fortinet中国区技术总监张略深入解读了此次攻击的技术特点与安全启示。

攻击技术实现与搜索引擎优化深度融合

总体来看，此类攻击呈现出专业化、持久化和高隐蔽性特征，反映出网络犯罪团伙正在不断优化其攻击工具和方法，企业应尽快构建覆盖“终端-网络-情报-响应”的多维防护体系。

此次攻击的创新之处首先在于其对SEO机制的精准操控。攻击者通过注册与合法网站高度相似的域名（如deepl-fanyi[.]com），并利用SEO插件操纵搜索引擎排名，使恶意网站在搜索结果中获得靠前位置。此外，这种手法的特别之处还在于，攻击者甚至在HTML源代码中嵌入特定注释信息以增强隐蔽性，这使得普通用户很难辨别网站真伪。

在技术实现层面，攻击链采用多阶段动态加载机制。通过nice.js脚本发起初始请求，获取二级下载链接，最终投放将合法应用与恶意组件捆绑的MSI安装包，并利用Windows Installer的CustomAction机制触发恶意代码执行，这种“合法包装”的策略使安全检测难度倍增。这种精心设计的流程使得用户在不知不觉中下载并安装了恶意软件，凸显出现代网络攻击的高度欺骗性。

反检测能力显著提升，针对性对抗安全软件

FortiGuard Labs深入分析显示，该恶意软件家族（被评估为Winos变体）采用了多层次的反分析技术：

进程验证：仅在父进程为msiexec.exe（Windows Installer）时才执行，有效规避沙箱环境检测

休眠完整性检查：通过向百度发送两次HTTP请求并计算间隔，判断是否在分析环境中运行

ACPI表检查：通过检测桌面文件数量和ACPI表特征，识别虚拟化环境

这些技术手段表明，攻击者已具备相当高的技术水平，能够针对主流安全工具的检测机制进行精准规避。更令人不安的是，恶意软件还会针对360TotalSecurity等中文环境常用安全软件进行针对性规避，通过抢占资源消耗干扰分析效率，这种“本土化”的攻击策略使得中文用户面临更高风险。

模块化架构支持灵活攻击与持久化控制

FortiGuard Labs分析表明，该恶意软件采用高度模块化的“心跳-监控-命令控制”三重架构，展现出相当成熟的攻击能力。心跳模块负责持续采集系统信息、用户身份、防病毒软件状态和运行进程；监控模块则专注于跟踪焦点窗口、持久化状态和配置文件变化；命令控制模块支持多达17类远程指令，包括插件注入、键盘记录、加密钱包劫持和屏幕捕捉等高级功能。

此外，攻击者还建立了完善的插件体系，可根据需要动态投递功能模块。观察到的插件包括DifferentScreen.bin、Telegram.bin等，这些插件进一步扩展了攻击范围，使威胁行为者能够根据特定目标灵活调整攻击策略，显示出攻击者具备高度的组织化和专业化特征。

SEO投毒攻击揭示网络安全威胁关键趋势

此次攻击事件揭示了网络安全威胁的几个关键趋势：

1. 攻击本土化：攻击者越来越擅长针对特定语言和地区的用户设计攻击策略，中文环境成为重点目标。

2. 攻击复杂化：从简单的恶意软件下载，发展为包含多层规避、复杂通信和数据窃取的完整攻击链。

3. 攻击经济化：加密货币劫持功能的加入，表明攻击者已将网络安全威胁与经济利益紧密结合。

企业防护需要体系化升级与主动防御能力

面对快速演进的SEO投毒攻击，张略建议采取以下多层面防护策略：

用户层面：下载软件时务必核对域名，避免点击搜索结果中排名靠前但域名不正规的链接；优先使用官方渠道下载软件。

企业层面：部署具备AI驱动的威胁防护系统，如FortiGuard Antivirus，可有效检测并拦截W64/Agent.D31A!tr、W64/ShellCodeLoader.6BFD!tr等恶意软件变种。

技术层面：强化端点防护，特别是对Windows Installer和注册表操作的监控；启用内容解除和重构服务，防止文档中嵌入的恶意宏。

认知层面：加强安全意识培训，帮助用户识别SEO投毒攻击的特征，特别是在中文环境下使用软件时的域名验证。

Fortinet一体化安全架构提供全面防护

基于FortiGuard Labs的研究成果，Fortinet已经实现对相关攻击活动的全链路覆盖检测，恶意攻击载荷可被准确识别。通过FortiGate、FortiEDR、FortiClient等产品的协同联动，可以有效防御从初始投毒、恶意代码执行到横向移动的完整攻击链。

Fortinet将持续协同全球威胁情报网络和本地安全团队，为企业提供实时防护更新和事件响应支持。建议用户全面启用FortiGuard AI驱动沙箱、应用程序防火墙及终端行为检测功能，构建多层次、主动式的安全防护体系，实现对未知威胁的提前拦截和有效管控。

随着数字化转型的深入，网络攻击手段也在不断演进。企业需要保持高度警惕，采用更加智能和集成的安全解决方案，才能在这场持续演进的安全攻防战中保持主动，确保业务安全和数据保护。Fortinet将继续致力于为企业提供全方位的网络安全保障，共同应对日益复杂的网络威胁环境。

FORTINET FORTIGATE 100F详细参数