合法数字签名幕后的陷阱:警惕“谷堕大盗”的水坑攻击
原文中文,约5900字,阅读约需14分钟。发表于: 。恶意安装包内包含“向日葵远控”、“钉钉”、“WPS”等常用工具软件,攻击者伪造官网界面网页诱使用户下载。
奇安信威胁情报中心发现多款二次打包的恶意安装包样本,携带木马后门,伪造常用工具软件界面诱使用户下载。这些样本与之前发现的被恶意重新打包的“企业微信”样本相似,判断为同一黑产组织。恶意安装包会释放恶意文件并加载BigWolf RAT,窃取浏览器记录、聊天软件记录和按键记录等。攻击者使用PE加载器作为木马母体,以反静态分析和规避杀毒软件检测。报告重点分析了仿冒“向日葵远控”、“钉钉”、“WPS”的恶意安装包样本。用户应加强网络安全意识,避免下载使用不明来源的软件。