银狐是2023年4月上旬开始活跃的一支黑产团伙。银狐初期被定义为一个黑客团伙,随后经过深入分析,将银狐归类到一类病毒家族。银狐专门针对金融、制造等行业进行大规模钓鱼活动。银狐通过二次打包恶意安装包样本进行水坑攻击,伪造官网界面网页诱使用户下载常用工具软件,如“向日葵远控”、“钉钉”、“WPS”等,并通过社交软件进行传播。他们的恶意安装包样本会释放多个恶意文件并在内存中加载BigWolf RAT,实现对受害主机窃取浏览器记录、聊天软件记录、窃取按键记录等窃密行为。银狐还采用多种方式加载恶意载荷,包括利用“白加黑”的方式加载恶意DLL文件、从公共服务平台中获取托管的恶意文件、从攻击者服务器中获取加密的恶意文件。他们的攻击手法和资源多变,通过利用云笔记平台投递远控木马来对抗终端安全产品。他们的攻击对网络安全造成了一定的威胁,特别是针对金融、制造等行业的大规模钓鱼攻击,可能导致用户的财产损失和信息泄露。因此,加强网络安全防护措施,提升网络安全意识十分重要。
网络工程吧 关注:21,831贴子:66,692
- 2回复贴,共1页
银狐是一种专门针对企事业单位管理、财务等从业人员进行攻击的木马病毒变种,主要通过多种手段进行隐蔽传播和攻击。以下是银狐的主要攻击手法:
通过社交软件传播:银狐通过微信、QQ、Telegram、Skype等社交软件发送zip文件和钓鱼链接,诱导用户点击,从而传播恶意代码。
钓鱼网站:银狐还会通过钓鱼网站进行传播,用户访问这些网站时可能会被诱导下载恶意软件。
邮件钓鱼攻击:通过发送带有恶意附件或链接的邮件,诱导用户点击,进而感染计算机。
伪造工具网站:银狐还会伪造工具网站,诱导用户下载并执行未知来源的程序,这些程序通常具有合法签名,但实际包含恶意代码。
进程注入和签名伪造:银狐利用进程注入、无文件攻击及签名伪造等技术绕过安全防护,远程控制受害者的计算机,窃取敏感数据和财产信息。例如,通过模拟鼠标点击构造合法执行链路加载恶意代码,或者利用微软官方程序启动程序加载恶意代码。
重新打包安装包:银狐将恶意软件伪装成第三方应用的安装包,这些安装包拥有合法的签名,用户在安装过程中看似在安装合法软件,实际上后台也在运行恶意程序。
内存中动态加载:银狐通过释放加密的dll文件,在内存中动态加载并执行解密后的代码,以避免被杀毒软件检测。
防御措施
为了有效防范银狐等类似攻击,可以采取以下措施:
提高安全意识:不打开不明链接、不下载和执行未知来源的程序。
数据加密:对关键数据进行加密,防止数据泄露和被勒索利用。
及时更新系统和软件:保持系统和应用程序的及时更新,防止利用已知漏洞进行攻击。
使用安全、可靠的办公软件和网络环境:选择安全、合规的办公软件及网络环境,减少被攻击的风险。
通过社交软件传播:银狐通过微信、QQ、Telegram、Skype等社交软件发送zip文件和钓鱼链接,诱导用户点击,从而传播恶意代码。
钓鱼网站:银狐还会通过钓鱼网站进行传播,用户访问这些网站时可能会被诱导下载恶意软件。
邮件钓鱼攻击:通过发送带有恶意附件或链接的邮件,诱导用户点击,进而感染计算机。
伪造工具网站:银狐还会伪造工具网站,诱导用户下载并执行未知来源的程序,这些程序通常具有合法签名,但实际包含恶意代码。
进程注入和签名伪造:银狐利用进程注入、无文件攻击及签名伪造等技术绕过安全防护,远程控制受害者的计算机,窃取敏感数据和财产信息。例如,通过模拟鼠标点击构造合法执行链路加载恶意代码,或者利用微软官方程序启动程序加载恶意代码。
重新打包安装包:银狐将恶意软件伪装成第三方应用的安装包,这些安装包拥有合法的签名,用户在安装过程中看似在安装合法软件,实际上后台也在运行恶意程序。
内存中动态加载:银狐通过释放加密的dll文件,在内存中动态加载并执行解密后的代码,以避免被杀毒软件检测。
防御措施
为了有效防范银狐等类似攻击,可以采取以下措施:
提高安全意识:不打开不明链接、不下载和执行未知来源的程序。
数据加密:对关键数据进行加密,防止数据泄露和被勒索利用。
及时更新系统和软件:保持系统和应用程序的及时更新,防止利用已知漏洞进行攻击。
使用安全、可靠的办公软件和网络环境:选择安全、合规的办公软件及网络环境,减少被攻击的风险。
