银狐钓鱼再升级:白文件脚本化实现GO语言后门持久驻留
💡
原文中文,约2700字,阅读约需7分钟。
📝
内容提要
火绒监测到“银狐”系列变种木马,通过阿里云存储传播恶意文件,利用Python脚本控制电脑。火绒6.0有效拦截此类病毒,保护用户安全。银狐组织的后门程序升级,采用新型“白文件+脚本”攻击方式,规避常规检测,控制大量终端设备实施诈骗。
🎯
关键要点
- 火绒监测到活跃的“银狐”系列变种木马,利用阿里云存储传播恶意文件。
- 该木马通过Python脚本控制电脑,最终实现后门权限的长期维持。
- 火绒6.0能够有效拦截和查杀此类病毒,保护用户安全。
- 银狐组织的后门程序已升级为多语言混合版本,采用新型“白文件+脚本”攻击方式。
- 攻击者通过合法XML文件和Python脚本实施攻击,规避常规检测手段。
- 银狐组织能够通过单台服务器控制上千台终端设备,主要集中在财务、国企和政府部门。
- 样本伪装成谷歌浏览器升级程序,实施钓鱼攻击。
- 恶意代码通过判断进程名称和环境中是否存在特定进程来决定是否执行。
- 样本通过阿里云存储下载恶意文件,并利用KeePass.exe作为白利用程序。
- 后门Python脚本下载伪装成图片的恶意可执行文件,并创建高权限的计划任务以实现持久化。
- 后门具有多种功能,包括命令执行、屏幕截图、文件上传和下载等。
➡️
