一周安全漫谈丨微信群有人“投毒” 警惕“银狐”钓鱼攻击

 

本周我们注意到，业内好几家安全厂商，包括亚信安全、深信服和瑞星，都发布了一份针对“银狐”木马病毒的安全提醒。

 

瑞星安全专家称，近日捕获一起“银狐”木马团伙利用微信群传播病毒的事件，该团伙伪造了一个名为“10月新政财会人员薪资补贴调整新政策”的压缩文件，在微信社群中传播。由于该文件具备较强的诱惑性，如果有人使用电脑登录微信并打开了该压缩包，就会面临病毒入侵的风险。

 

第一步：伪造的“薪资补贴”压缩包被解压后会出现一个.exe文件，该文件一旦被双击，就会联网下载带有合法数字签名的另一个可执行文件和同名的.dat数据文件，以及另外两个文件；

 

第二步：接下来，刚刚被下载的这个合法的可执行文件会解压.dat文件，并执行其中的恶意脚本来修复其他文件，通过进一步解密得到并启动远控木马程序，让受害者中招。

 

据悉，来势汹汹的“银狐”病毒并非新生儿，早在今年三月微步在线便发布过一份针对“银狐”团伙的研究报告。在短短几个月内，该病毒已经经历过多次迭代，其在攻击方式，攻击组件部署方式，恶意样本投递方式上不断升级、变化，与杀软持续对抗。除此之外，银狐木马还使用白加黑、加密payload、内存加载等免杀手段，逃避杀软检测。

 

除了通过即时通信工具投递外，该病毒还会伪装成正常的程序安装包，通过邮件、钓鱼网站等途径来诱导用户下载安装。其伪装程序通常包括各种常见工具、热点新闻名称、视频文件等，目的是使受害者降低防范意识，执行伪装程序，最终下载远控木马，对受害机进行控制。

 

有专家分析称，该病毒还专门针对金融、教育等企事业单位的管理、财务、销售等从业人员进行攻击，因为这类人群的防范心理要更弱一些。所以当大家看到“请下载附件查看详细信息”“您的账号登录异常，请及时处理！”之类的话术，可一定要提起十二分精神，临近年底，黑客团伙也要开始冲业绩了，一旦犯迷糊的话，下一个受害者就是你。

 

接下来一起来看本周另外一件行业新闻。

 

 

另外本周我们也注意到一起关于勒索软件团伙的事件，在朋友圈引发了不少人的转发。

众所周知，LockBit勒索软件团伙因为攻击了某国有银行的美国子公司，某行迅速向其支付了勒索赎金而再次被各界关注。我们去了解了一下这个团伙背后的发展历程，不得不说，其身上还有着几分传奇色彩。

 

据称，LockBit最早诞生于2019年，网传这是一个俄语系的黑客团伙，除了俄罗斯和前苏联国家外，LockBit的攻击足迹遍及全世界。

 

2021年5月，加拿大、德国军方的独家战机培训供应商Top Aces被LockBit攻击。

2021年8月，全球IT咨询巨头埃森哲也被攻击，据说被窃取了6TB的数据，并被要求支付5000万美元的赎金。

今年6月底，台积电被攻击，并被要求支付赎金7000万美元。

今年10月，LockBit又窃取了波音公司的数据，因勒索未果还将数据进行了公开。

 

此外，包括曼谷航空、英国皇家邮政、德国大陆集团、伦敦市政府等等，都被LockBit攻击过。

 

除了犯罪能力强外，这个团伙有意思的点在于其十分注重品牌和口碑的运营。在其勒索用户的界面上写着：LockBit是地球上最古老的勒索软件联盟计划，没有什么比声誉更重要。他们不关心政治，只想要钱。LockBit每次勒索的金额也有大致范围，只向被敲诈对象索要年销售额或年收入的0.5%—10%。敲诈的对象，首选也都是大商巨贾。LockBit还强调自己是一个讲信誉的组织，只要给钱了，就一定会交出解密器和删除数据，绝不食言。

 

此外，LockBit还开发了一系列辅助工具，比如勒索软件、赎金支付门户，甚至他们还向其他黑客团队提供赎金谈判的服务。为了让勒索软件更好用，几个月前他们还搞了一个“漏洞赏金”计划，呼唤全球技术爱好者帮忙检测缺陷和弱点，最高可奖励100万美元。

 

关于勒索，LockBit还提出一个新思路，他们表示，被勒索的企业可以将这笔支出视为对系统管理员的付费培训，用户应该为一次高标准的渗透测试服务付费等等，不得不说，这个说服缴纳赎金的思路也十分清奇。但事实并不如他们描述的这么美好，在一次勒索攻击背后，无数的企业数据被加密，业务也被迫停摆，并承受严重的经济损失。

 

LockBit背后似乎有一位优秀的企业管理者，他是真正把勒索攻击当成一门生意在做。尽管LockBit宣称，调查机关绝对找不到他们的位置，他们一直辗转于全球。但我们相信，百密终有一疏，这个危险的游戏早晚有终结的那天。

 

获取更多行业资讯，请关注安全419网站、公众号和视频号。