银狐钓鱼再升级:白文件脚本化实现GO语言后门持久驻留
内容提要
火绒监测到“银狐”系列变种木马,通过阿里云存储传播恶意文件,利用Python脚本控制电脑。火绒6.0有效拦截此类病毒,保护用户安全。银狐组织的后门程序升级,采用新型“白文件+脚本”攻击方式,规避常规检测,控制大量终端设备实施诈骗。
关键要点
-
火绒监测到活跃的“银狐”系列变种木马,利用阿里云存储传播恶意文件。
-
该木马通过Python脚本控制电脑,最终实现后门权限的长期维持。
-
火绒6.0能够有效拦截和查杀此类病毒,保护用户安全。
-
银狐组织的后门程序已升级为多语言混合版本,采用新型“白文件+脚本”攻击方式。
-
攻击者通过合法XML文件和Python脚本实施攻击,规避常规检测手段。
-
银狐组织能够通过单台服务器控制上千台终端设备,主要集中在财务、国企和政府部门。
-
样本伪装成谷歌浏览器升级程序,实施钓鱼攻击。
-
恶意代码通过判断进程名称和环境中是否存在特定进程来决定是否执行。
-
样本通过阿里云存储下载恶意文件,并利用KeePass.exe作为白利用程序。
-
后门Python脚本下载伪装成图片的恶意可执行文件,并创建高权限的计划任务以实现持久化。
-
后门具有多种功能,包括命令执行、屏幕截图、文件上传和下载等。
延伸解读
银狐组织的攻击手法演变
银狐组织的攻击手法经历了显著的演变,从早期的传统木马到现在的多语言混合版本,采用了新型的“白文件+脚本”攻击方式。这种方式利用合法文件进行攻击,能够有效规避常规检测手段,给网络安全带来了新的挑战。
火绒6.0的防护能力
火绒6.0具备强大的内存防护功能,能够精准识别和拦截内存加载的病毒。这一能力对于防御银狐系列木马等新型威胁尤为重要,用户在选择安全软件时应关注其对新型攻击手法的防护能力。
受害者群体的广泛性
银狐组织的攻击目标主要集中在财务、国企和政府部门,这些领域的受害者往往涉及大量敏感信息。企业和机构应加强安全防护措施,定期进行安全培训,以提高员工对钓鱼攻击的警惕性。
延伸问答
银狐系列木马是如何传播的?
银狐系列木马通过阿里云存储传播恶意文件。
火绒6.0如何保护用户安全?
火绒6.0能够有效拦截和查杀银狐系列木马,保护用户安全。
银狐组织的后门程序有哪些新特性?
银狐组织的后门程序采用新型“白文件+脚本”攻击方式,规避常规检测。
攻击者如何实现对终端设备的控制?
攻击者通过单台服务器控制上千台终端设备,主要集中在财务、国企和政府部门。
银狐木马的恶意功能有哪些?
银狐木马具备命令执行、屏幕截图、文件上传和下载等多种功能。
银狐木马是如何实现持久化的?
银狐木马通过创建高权限的计划任务和修改注册表来实现持久化驻留。
