夜雨聆风近期,国家计算机网络应急技术处理协调中心监测到一场大规模的“银狐”远控木马传播攻击。黑产团伙借助AI技术批量搭建高仿真钓鱼网站,冒充Chrome浏览器、WPS办公软件等日常必备工具的官方下载页面,通过搜索引擎将用户引向这些虚假站点,诱使用户下载带有病毒的安装包。一旦用户执行安装,木马就会把恶意代码注入系统核心进程,与境外的控制服务器建立长期连接,从而实现对受害者电脑的远程操控。截至目前,国内已有超过18.2万台设备被感染,单日最高被控数量达到2.6万台。
攻击者重点仿冒的是师生高频使用的软件,其中Chrome和WPS的仿冒占比超过七成,其余还包括Telegram、有道翻译、Clash等工具。他们用自动化工具批量注册域名,高峰时一分钟能注册15条,域名大多选用国内常见后缀,并通过字母重复、缺字、错拼等方式炮制出与官方网址高度相似的假地址。为了让钓鱼网站排在搜索结果前列,攻击者专门针对Bing搜索引擎做了优化,同时还设置了访问校验:只有通过搜索引擎跳转才能进入钓鱼页面,直接输入网址则会跳转到空白页或Bing首页,以此逃避安全检测。所有的钓鱼页面均由AI批量生成,制作成本低、迭代速度快。
完整的攻击链条如下:用户通过搜索引擎点击进入钓鱼网站后,会被诱导下载一个压缩包形式的恶意安装程序。这个安装包会同时安装正版软件来降低用户的戒心,然后在系统目录下释放恶意文件,并将该目录设为禁止删除和访问,以保护自身不被清除。紧接着,木马将恶意载荷注入输入法进程、系统托管进程等系统关键进程中,借助合法进程的外衣运行,从而躲过杀毒软件的查杀。被注入的进程主动连接境外的控制服务器,通过443、22端口建立加密通信,获取系统最高权限,并创建自启动项,长期潜伏在电脑中,随时接收攻击者指令,窃取文件、账号密码、聊天记录等敏感信息。此外,攻击者还在各钓鱼网站中埋入了流量统计工具,能够精准分析每个站点的访问数据,据此不断调整和优化攻击策略。
