瑞星揭秘“银狐木马”双线攻击方式

“尊敬的客户，您的发票已生成，点击下载作为报销凭证……” 这样一封看似普通的银行电子发票通知邮件，却可能是黑客撬开你电脑大门的钥匙。

近日，瑞星威胁情报平台捕获到“银狐木马”新一轮的攻击，他们通过伪造发票邮件和聊天文件，借助合法软件的外衣大肆窃密， 金融 机构和普通用户都已成为目标。

攻击事件一：钓鱼邮件借“白加黑””技术劫持系统

瑞星安全专家深入追踪发现，“银狐木马”团伙针对国内某银行发动精密钓鱼攻击，以发票通知作为诱饵，向银行员工邮箱发送钓鱼邮件，邮件域名伪装成正规机构，内嵌“百度”样式链接（如：hxxps://baidu.com@xxxxx.cn），极具迷惑性。一旦点击，便会跳转到高仿的验证页面，诱导用户下载名为“票单.zip”的压缩包。

瑞星安全专家介绍，该压缩包内含有经德国安博士（Avira）合法签名的程序，却暗藏DLL恶意程序。“银狐木马”正是通过这种“白加黑”的方式绕过安全软件检测，偷偷获取管理员权限，并下载其核心模块。

攻击事件二：聊天文件用“硬件绑定”加密术

除了钓鱼邮件，“银狐木马”的另一分支通过聊天软件传播名为"明细查询.zip"的压缩包。解压后可以看到大家熟悉的“微软电脑管家”程序，但这实则是黑客篡改后的“毒匣子”，该程序附带的配置文件已被修改，会主动加载“m$RECYCLE.BIN”目录下的恶意程序。

瑞星安全专家介绍，恶意程序会读取电脑硬盘序列号和主板信息，生成一个32字节的独特密钥，这种机制使得恶意代码只在目标设备上被激活，让安全人员分析难度变大。并且，木马还会将自身拆分成多个.dat文件，平时以碎片形式隐藏在系统深处，仅在执行时通过cmd命令动态拼接，这种 “碎片攻击”让传统杀毒软件难以识别。

瑞星警示：银狐木马持续活跃，且危害巨大

 

瑞星安全专家介绍，银狐木马（又名毒鼠、谷堕、游蛇），是近年来国内非常流行的一个远控木马。自2022年9月起开始活跃，主要针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击。攻击团伙通过投递远控木马，获得受害者的计算机控制权限，在系统内长期驻留，监控用户日常操作，窃取敏感信息，利用受害者的即时通信软件来发送具有针对性的钓鱼、欺诈类信息，实施钓鱼攻击和诈骗等违法行为。

正是这种深度潜伏与全面操控的特性，让银狐木马极具威胁性：

l 伪装隐藏：把自己注入到系统进程中，避免被任务管理器发现；

l 数据窃密：实时记录键盘输入、截取屏幕画面，甚至能远程查看聊天记录；

l 毁尸灭迹：清理系统日志、关闭杀毒软件防护，让黑客操作不留痕迹。

更可怕的是，木马会随时接收黑客指令，可执行关机、删除文件、下载新病毒等操作。

瑞星四步防护建议：

由于近期“银狐木马”频繁活动，借助带有合法数字签名的文件作为掩护，对用户的迷惑性极强，因此瑞星安全专家建议广大用户：

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2. 部署EDR、NDR产品。

利用威胁情报追溯威胁行为轨迹，进行威胁行为分析，定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，以便更快响应和处理。

3. 安装有效的杀毒软件，拦截查杀恶意文档和恶意程序。

杀毒软件可拦截恶意文档和恶意程序，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

4. 及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播，及时安装补丁将有效减少漏洞攻击带来的影响。