我国境内再次捕获发现针对我国用户的“银狐”木马病毒的最新变种。在本次传播过程中,攻击者继续通过构造财务、税务违规稽查通知等主题的钓鱼信息和收藏链接,通过微信群直接传播包含该木马病毒的加密压缩包文件,如图1所示。图1中名为“笔记”等字样的收藏链接指向文件名为“违规-记录(1).rar”等压缩包文件,用户按照钓鱼信息给出的解压密码解压压缩包文件后,会看到以“开票-目录.exe”“违规-告示.exe”等命名的可执行程序文件,这些可执行程序实际为“银狐”远控木马家族于12月更新传播的最新变种程序。如果用户运行相关恶意程序文件,将被攻击者实施远程控制、窃密等恶意操作,并可能被犯罪分子利用充当进一步实施电信网络诈骗活动的“跳板”。本次发现攻击者使用的钓鱼信息仍然以伪造官方通知为主。结合年末特点,攻击者刻意强调“12月”“稽查”“违规”等关键词,借此使潜在受害者增加紧迫感从而放松警惕。在钓鱼信息之后,攻击者继续发送附带所谓的相关工作文件的钓鱼链接。对于本次发现的新一批变种,犯罪分子继续将木马病毒程序的文件名设置为与财税、金融管理等相关工作具有密切联系的名称,以引诱相关岗位工作人员点击下载运行,如:“开票-目录”“违规-记录”“违规-告示”等。此次发现的新变种仍然只针对安装Windows操作系统的传统PC环境,犯罪分子也会在钓鱼信息中使用“请使用电脑版”等话术进行有针对性的诱导提示。本次发现的新变种以RAR、ZIP等压缩格式(内含EXE可执行程序)为主,与之前变种不同的是,此次攻击者为压缩包设置了解压密码,并在钓鱼信息中进行提示告知,以逃避社交媒体软件和部分安全软件的检测,使其具有更强的传播能力。木马病毒被安装运行后,会在操作系统中创建新进程,进程名与文件名相同,并从回联服务器下载其他恶意代码直接在内存中加载执行。回联地址为:156.***.***.90,端口号为:1217命令控制服务器(C2)域名为:mm7ja.*****.cn,端口号为:6666网络安全管理员可根据上述特征配置防火墙策略,对异常通信行为进行拦截。其中与C2地址的通信过程中,攻击者会收集受害主机的操作系统信息、网络配置信息、USB设备信息、屏幕截图、键盘记录、剪切板内容等敏感数据。本次发现的新变种还具有主动攻击安全软件的功能,试图通过模拟用户鼠标键盘操作关闭防病毒软件。临近年末,国家计算机病毒应急处理中心再次提示广大企事业单位和个人网络用户提高针对各类电信网络诈骗活动的警惕性和防范意识,不要轻易被犯罪分子的钓鱼话术所诱导。结合本次发现的银狐木马病毒新变种传播活动的相关特点,建议广大用户采取以下防范措施:- 不要轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件和官方程序(或相应下载链接),应通过官方渠道进行核实。
- 带密码的加密压缩包并不代表内容安全,针对类似此次传播的“银狐”木马病毒加密压缩包文件的新特点,用户可将解压后的可疑文件先行上传至国家计算机病毒协同分析平台(https://virus.cverc.org.cn)进行安全性检测,并保持防病毒软件实时监控功能开启,将电脑操作系统和防病毒软件更新到最新版本。
- 一旦发现电脑操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭,应立即主动切断网络连接,对重要数据进行迁移和备份,并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。
- 一旦发现微信、QQ或其他社交媒体软件发生被盗现象,应向亲友和所在单位同事告知相关情况,并通过相对安全的设备和网络环境修改登录密码,对自己常用的计算机和移动通信设备进行杀毒和安全检查,如反复出现账号被盗情况,应在备份重要数据的前提下,考虑重新安装操作系统和防病毒软件并更新到最新版本。
— 欢迎关注 往期回顾 —
230个网络和数据安全相关法律法规规范文件打包下载
>>>网络安全等级保护<<<
网络安全等级保护:等级保护的概念
网络安全等级保护:等级保护工作的内涵
网络安全等级保护:开展网络等级保护工作的流程
网络安全等级保护:贯彻落实网络安全等级保护制度的原则
网络安全等级保护:开展网络安全等级保护工作的法律依据
网络安全等级保护:开展网络安全等级保护工作的政策依据
网络安全等级保护:开展网络安全等级保护工作的标准依据
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:网络总体安全规划很重要
网络安全等级保护:一定要做好网络安全运行与维护
网络安全等级保护:应急响应与保障是法定要求
网络安全等级保护:如何正确处理终止的等级保护对象
网络安全等级保护:政策与技术“七一”大合集100+篇
网络安全等级保护:安全管理机构
网络安全等级保护:网络安全事件分类分级思维导图
>>>关键信息基础设施安全保护<<<
关键信息基础设施安全保护要求思维导图
网络安全框架CSF 2.0 核心与示例映射
>>>数据安全系列<<<
警惕风险突出的100个高危漏洞(上)
警惕风险突出的100个高危漏洞(下)
警惕“两高一弱”风险及安全防护提示(全集)
不履行网络安全保护义务是违法行为!多家单位被通报!
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
四川遂宁公安公布10起涉网违法犯罪典型案例
276人落网!河南新乡警方摧毁特大“网络水军”犯罪团伙
非法出售公民个人信息 网站经营者被判三年有期徒刑
超范围采集公民信息,违法!鹤壁网警出手
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
重庆某国企因网安责任人履职不到位被约谈
回顾长沙市三个区网信开出首张罚单的不同时间和处罚单位类型
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网安局:拒不履行网络安全保护义务,处罚!事关备案!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
2023年10佳免费网络威胁情报来源和工具
重大网络安全事件事后工作很重要
默认安全:对现代企业意味着什么
网络安全知识:什么是事件响应?
网络安全知识:什么是攻击面?
网络安全知识:什么是访问控制列表 (ACL)?
网络安全知识:什么是访问管理?
网络安全知识:什么是访问矩阵?
网络安全知识:什么是账户收集?
网络安全知识:什么是工业控制系统 (ICS) 网络安全?
网络安全知识:什么是暴力攻击?
网络安全知识:什么是安全审计?
网络安全知识:什么是分组密码?
网络安全知识:什么是僵尸网络?
网络安全知识:什么是非对称加密?
网络安全知识:什么是边界网关协议 (BGP)?
网络安全知识:什么是缓冲区溢出?
网络安全知识:网络安全中的EDR是什么?
网络安全知识:什么是身份验证?
网络安全知识:什么是勒索软件?
网络安全知识:什么是授权?
网络安全知识:什么是自治系统?
网络安全知识:什么是蓝队?
网络安全知识:什么是Bind Shell?
网络安全知识:什么是安全网关?
网络安全知识:什么是蓝队?
网络安全知识:什么是防病毒产品?
网络安全知识:什么是横幅抓取?
网络安全知识:什么是堡垒主机?
网络安全知识:什么是引导扇区病毒?
网络安全知识:计算机网络中的桥接器
网络安全知识:什么是广播?
网络安全知识:什么是业务连续性计划?
网络安全知识:什么是基于证书的身份验证?
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是补丁管理?
网络安全知识:什么是跨站请求伪造?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
网络安全知识:什么是拒绝服务(DoS)攻击?
网络安全知识:什么是端到端加密 (E2EE)?
将人类从网络安全中解放出来
