“银狐”团伙再度出击:利用易语言远控木马实施钓鱼攻击
💡
原文中文,约3400字,阅读约需8分钟。
📝
内容提要
自2023年上半年以来,多个黑产团伙使用“银狐”工具攻击国内企事业单位,窃取资金和隐私信息。其中一个团伙使用易语言编写的远控木马“刺客远程”,通过钓鱼网站自动下载初始载荷文件到受害者主机上。建议加强网络安全和数据安全,防范此类攻击。
🎯
关键要点
- 自2023年上半年以来,多个黑产团伙使用“银狐”工具攻击国内企事业单位。
- 这些团伙主要针对金融、教育、医疗等行业,窃取资金和隐私信息。
- 攻击方式包括使用钓鱼邮件和钓鱼网站传播远控木马。
- 某团伙使用易语言编写的远控木马“刺客远程”,通过自动下载初始载荷文件进行攻击。
- 攻击活动中,初始载荷文件通常命名为“setup*****.exe”。
- 该团伙不断变换工具以躲避检测,保持相同的投递方式。
- 钓鱼网站一旦访问会自动下载初始载荷到受害者主机。
- 初始载荷样本分为两个阶段执行,第一阶段为下载器,第二阶段为远控模块。
- 恶意软件使用bbtcp.dll网络通讯库与控制端进行消息收发。
- 防护建议包括加强网络安全和数据安全,防范此类攻击。
➡️
