“银狐”团伙再度出击:利用易语言远控木马实施钓鱼攻击
💡
原文中文,约3400字,阅读约需8分钟。
📝
内容提要
自2023年上半年以来,多个黑产团伙使用“银狐”工具攻击国内企事业单位,窃取资金和隐私信息。其中一个团伙使用易语言编写的远控木马“刺客远程”,通过钓鱼网站自动下载初始载荷文件到受害者主机上。建议加强网络安全和数据安全,防范此类攻击。
🎯
关键要点
- 自2023年上半年以来,多个黑产团伙使用“银狐”工具攻击国内企事业单位。
- 这些团伙主要针对金融、教育、医疗等行业,窃取资金和隐私信息。
- 攻击方式包括使用钓鱼邮件和钓鱼网站传播远控木马。
- 某团伙使用易语言编写的远控木马“刺客远程”,通过自动下载初始载荷文件进行攻击。
- 攻击活动中,初始载荷文件通常命名为“setup*****.exe”。
- 该团伙不断变换工具以躲避检测,保持相同的投递方式。
- 钓鱼网站一旦访问会自动下载初始载荷到受害者主机。
- 初始载荷样本分为两个阶段执行,第一阶段为下载器,第二阶段为远控模块。
- 恶意软件使用bbtcp.dll网络通讯库与控制端进行消息收发。
- 防护建议包括加强网络安全和数据安全,防范此类攻击。
❓
延伸问答
银狐团伙主要攻击哪些行业?
银狐团伙主要攻击金融、教育、医疗等行业。
银狐团伙使用什么工具进行攻击?
银狐团伙使用易语言编写的远控木马“刺客远程”进行攻击。
钓鱼攻击是如何实施的?
钓鱼攻击通过钓鱼邮件和钓鱼网站传播远控木马,受害者访问后会自动下载恶意文件。
初始载荷文件通常命名为什么?
初始载荷文件通常命名为“setup*****.exe”。
如何防范银狐团伙的攻击?
建议加强网络安全和数据安全,防范此类攻击。
刺客远程木马的执行流程是怎样的?
刺客远程木马分为两个阶段,第一阶段为下载器,第二阶段为远控模块。
➡️
