事关政企机构数据及财务安全！360发布银狐木马新变种预警

近期，360数字安全集团已多次发布关于“银狐”木马的预警通告。该木马是一类针对企事业单位管理人员、财务人员、销售人员及电商卖家的钓鱼木马，通常在获得计算机控制权限后会在系统内长期驻留，通过监控受害者的日常操作，以寻发起诈骗的契机。

近日，360数字安全集团再度监测到该木马的新变种分支，该变种依然是诱骗用户点击钓鱼链接或从即时通讯工具中接收传输文件，让用户下载并执行远控木马。之后，攻击者在利用远控木马长期监视用户的过程中，可实现随时控制受害者电脑，并伺机骗取或盗取用户数据及财产。

360数字安全集团每日阻止该类攻击千余次，通过对目前捕获到的样本进行溯源发现：这一批变种最早于8月26日开始传播，攻击团伙主要集中于东南亚地区。新变种的攻击手法和样本信息均与过往“银狐”木马样本有所不同，但攻击目标重合度较高，依然是瞄准的政企财务人员。

该木马新变种常以“利用二次打包的合法监控工具诱导用户安装”或者“直接使用远控木马进行攻击”两种方式发起攻击，常见的传播名称包括："关于2023企业所得税减缓最新规.exe"、"税务补贴服务端.exe"、" 2023年财务人员的中秋福利.exe"等。

其中，在一起利用合法远控工具进行攻击的案例中，该木马新变种会为传播而搭建钓鱼网页。

用户一旦上当，便会下载到一个名为“票·宝.xxxxx.exe”的程序，而该程序实际是一个自解压安装包。

安装包执行后，会向%TEMP%server目录下释放某款合法远控程序的受控端组件及配置文件，并对其进行注册与执行。受控端启动后会自行读取配置文件中的参数信息，这其中就包括了已被攻击者定义好的上线IP及端口等。

而另外一种情况则更为直接，攻击者会自行编写远控木马对受害者进行监视和控制。

该木马自身具有远程加载执行功能。木马启动后，会通过FTP协议远程加载网络侧的攻击载荷并执行。

对攻击载荷进行解密后会发现，该代码是一个用.NET编写的远控木马，并带有一系列与安全软件对抗的功能。例如：木马会判断用户机器是否处于虚拟机之中，以及对Windows反恶意软件接口（AMSI）的AmsiScanBuffer函数进行了patch。

此外，其还会添加持久化驻留。

同时，木马具有键盘消息钩子功能，会将记录的键盘消息加密压缩后发送到其远控服务器。

与大多数木马的基本操作相同，恶意代码也会搜集及用户的各类系统常规信息——如机器版本、CPU参数、内存等。

经分析，该远控木马根据不同指令可实现如下功能：

指令	功能
init_reg	对相关注册表内容进行初始化，清除设备ID信息
loadofflinelog	发送存储在%APPDATA%目录中的离线键盘记录日志
Po_ng	通过对C2服务器发起ping指令测试网络延迟
plu_gin	激活注册表中存储的插件
save_Plugin	将插件保存到注册表中的设备ID子项中
HVNCStop	结束cvtres进程
keylogsetting	更新%APPDATA%目录中存储的密钥日志文件
runningapp	显示当前的活动进程
filterinfo	列出注册表中已安装的程序及当前的活动进程

鉴于该木马所带来的安全威胁，360建议广大政企机构建立全面的数字安全防御体系，下载安装360终端安全管理系统，以免重要数据泄露而产生不可逆的损失。

360终端安全管理系统：依靠360安全云的赋能，打造资产管理、安全体检、实时对抗、病毒查杀、漏洞管理、数据保护、桌面加速、外设管理、上网管理、软件管理、账户管理以及能耗管理12大类功能，全面覆盖勒索攻击防护、挖矿攻击防护、APT攻击防护、攻防演练、重大事件保障、等保合规、数据安全7大场景，目前已经可以防御和查杀改木马新变种。

如需进一步咨询，

请联系360安全专家：400-0309-360

此外，360还建议广大用户做好以下防御措施，抵御“银狐”木马新变种的侵害：

1.安装并确保开启安全软件，保证其对本机的安全防护。

2.对于安全软件报毒的程序，不要轻易添加信任或退出安全软件。

3.下载软件安装包时要注意下载地址是否正常。

4.不要轻易下载并运行未知程序。

5.对于发现微信被异常控制，出现自动建群发生消息等问题的，尽快安装360终端安全产品，进行扫描查杀。

IOCs

MD5

9c911f891cb7b42dd973e3ace5ce6631

26d437b91e56ef15ceab3d1d19a26dc1