合法数字签名幕后的陷阱:警惕“谷堕大盗”的水坑攻击
💡
原文中文,约5900字,阅读约需14分钟。
📝
内容提要
奇安信威胁情报中心发现多款二次打包的恶意安装包样本,携带木马后门,伪造常用工具软件界面诱使用户下载。这些样本与之前发现的被恶意重新打包的“企业微信”样本相似,判断为同一黑产组织。恶意安装包会释放恶意文件并加载BigWolf RAT,窃取浏览器记录、聊天软件记录和按键记录等。攻击者使用PE加载器作为木马母体,以反静态分析和规避杀毒软件检测。报告重点分析了仿冒“向日葵远控”、“钉钉”、“WPS”的恶意安装包样本。用户应加强网络安全意识,避免下载使用不明来源的软件。
🎯
关键要点
-
奇安信威胁情报中心发现多款二次打包的恶意安装包,携带木马后门,伪造常用工具软件界面诱使用户下载。
-
这些恶意安装包与之前发现的被恶意重新打包的“企业微信”样本相似,判断为同一黑产组织。
-
恶意安装包会释放恶意文件并加载BigWolf RAT,窃取浏览器记录、聊天软件记录和按键记录等。
-
攻击者使用PE加载器作为木马母体,以反静态分析和规避杀毒软件检测。
-
报告重点分析了仿冒“向日葵远控”、“钉钉”、“WPS”的恶意安装包样本。
-
用户应加强网络安全意识,避免下载使用不明来源的软件。
-
奇安信威胁情报中心于2023年4月首次发现被恶意重新打包的“企业微信”,后续发现仿冒的常用工具软件恶意安装包。
-
恶意安装包下载站点包括hxxp://xiangrikui333.cn、hxxp://dingdingwang01.cn、hxxp://wapwang222.cn。
-
分析显示三个恶意安装包样本存在相似的恶意行为和文件释放。
-
攻击者通过伪造官网诱使用户下载,利用流行软件工具进行远程控制。
-
恶意样本感染面迅速增大,用户需警惕下载来源。
-
奇安信红雨滴团队提醒用户不要打开不明链接和附件,及时备份重要文件。
🏷️
标签
➡️
