一周安全漫谈丨微信群有人“投毒” 警惕“银狐”钓鱼攻击

首页 / 业界 / 资讯 /  正文
作者:安全419
发布于:2023-11-20
微信群有人“投毒” 警惕“银狐”钓鱼攻击
 
本周我们注意到,业内好几家安全厂商,包括亚信安全、深信服和瑞星,都发布了一份针对“银狐”木马病毒的安全提醒。
 
瑞星安全专家称,近日捕获一起“银狐”木马团伙利用微信群传播病毒的事件,该团伙伪造了一个名为“10月新政财会人员薪资补贴调整新政策”的压缩文件,在微信社群中传播。由于该文件具备较强的诱惑性,如果有人使用电脑登录微信并打开了该压缩包,就会面临病毒入侵的风险。
 
第一步:伪造的“薪资补贴”压缩包被解压后会出现一个.exe文件,该文件一旦被双击,就会联网下载带有合法数字签名的另一个可执行文件和同名的.dat数据文件,以及另外两个文件;
 
第二步:接下来,刚刚被下载的这个合法的可执行文件会解压.dat文件,并执行其中的恶意脚本来修复其他文件,通过进一步解密得到并启动远控木马程序,让受害者中招。
 
据悉,来势汹汹的“银狐”病毒并非新生儿,早在今年三月微步在线便发布过一份针对“银狐”团伙的研究报告。在短短几个月内,该病毒已经经历过多次迭代,其在攻击方式,攻击组件部署方式,恶意样本投递方式上不断升级、变化,与杀软持续对抗。除此之外,银狐木马还使用白加黑、加密payload、内存加载等免杀手段,逃避杀软检测。
 
除了通过即时通信工具投递外,该病毒还会伪装成正常的程序安装包,通过邮件、钓鱼网站等途径来诱导用户下载安装。其伪装程序通常包括各种常见工具、热点新闻名称、视频文件等,目的是使受害者降低防范意识,执行伪装程序,最终下载远控木马,对受害机进行控制。
 
有专家分析称,该病毒还专门针对金融、教育等企事业单位的管理、财务、销售等从业人员进行攻击,因为这类人群的防范心理要更弱一些。所以当大家看到“请下载附件查看详细信息”“您的账号登录异常,请及时处理!”之类的话术,可一定要提起十二分精神,临近年底,黑客团伙也要开始冲业绩了,一旦犯迷糊的话,下一个受害者就是你。
 
接下来一起来看本周另外一件行业新闻。
 
LockBit:一个有着生意头脑的勒索软件团伙
 
另外本周我们也注意到一起关于勒索软件团伙的事件,在朋友圈引发了不少人的转发。
 
众所周知,LockBit勒索软件团伙因为攻击了某国有银行的美国子公司,某行迅速向其支付了勒索赎金而再次被各界关注。我们去了解了一下这个团伙背后的发展历程,不得不说,其身上还有着几分传奇色彩。
 
据称,LockBit最早诞生于2019年,网传这是一个俄语系的黑客团伙,除了俄罗斯和前苏联国家外,LockBit的攻击足迹遍及全世界。
 
2021年5月,加拿大、德国军方的独家战机培训供应商Top Aces被LockBit攻击;2021年8月,全球IT咨询巨头埃森哲也被攻击,据说被窃取了6TB的数据,并被要求支付5000万美元的赎金;今年6月底,台积电被攻击,并被要求支付赎金7000万美元;今年10月,LockBit又窃取了波音公司的数据,因勒索未果还将数据进行了公开。
 
此外,包括曼谷航空、英国皇家邮政、德国大陆集团、伦敦市政府等等,都被LockBit攻击过。
 
除了犯罪能力强外,这个团伙有意思的点在于其十分注重品牌和口碑的运营。在其勒索用户的界面上写着:LockBit是地球上最古老的勒索软件联盟计划,没有什么比声誉更重要。他们不关心政治,只想要钱。LockBit每次勒索的金额也有大致范围,只向被敲诈对象索要年销售额或年收入的0.5%—10%。敲诈的对象,首选也都是大商巨贾。LockBit还强调自己是一个讲信誉的组织,只要给钱了,就一定会交出解密器和删除数据,绝不食言。
 
此外,LockBit还开发了一系列辅助工具,比如勒索软件、赎金支付门户,甚至他们还向其他黑客团队提供赎金谈判的服务。为了让勒索软件更好用,几个月前他们还搞了一个“漏洞赏金”计划,呼唤全球技术爱好者帮忙检测缺陷和弱点,最高可奖励100万美元。
 
关于勒索,LockBit还提出一个新思路,他们表示,被勒索的企业可以将这笔支出视为对系统管理员的付费培训,用户应该为一次高标准的渗透测试服务付费等等,不得不说,这个说服缴纳赎金的思路也十分清奇。但事实并不如他们描述的这么美好,在一次勒索攻击背后,无数的企业数据被加密,业务也被迫停摆,并承受严重的经济损失。
 
LockBit背后似乎有一位优秀的企业管理者,他是真正把勒索攻击当成一门生意在做。尽管LockBit宣称,调查机关绝对找不到他们的位置,他们一直辗转于全球。但我们相信,百密终有一疏,这个危险的游戏早晚有终结的那天。
 
获取更多行业资讯,请关注安全419网站、公众号和视频号。