AI+安全
数据安全
数据基础设施
态势感知
云安全
基础安全
终端安全
商用密码
软件供应链安全
网络空间靶场
工业互联网安全
物联网安全
安全托管服务
运营管理服务
“退税”“高考志愿填报”等银狐新诱饵出现,速速加入“猎狐行动”
近期,银狐木马的攻击活动便愈演愈烈,攻击者利用“中高考志愿”“企业所得税汇算”“税务稽查”“个人所得税退税” 等主题传播变种木马,通过微信、QQ、邮件以及伪造工具网站等渠道进行恶意攻击。病毒的文件名称与 “税务稽查”“所得税汇算清缴”等诱饵主题相关,实际为恶意可执行程序。
一、木马知识科谱
"银狐"木马,暗藏致命杀机
"银狐"木马(又名“游蛇”“谷堕大盗”)是近年来针对财税、金融领域定向攻击的顶级远控病毒,以社会工程学为核心手段,伪装成教育通知、政府文件、财税工具或热点通知,通过钓鱼链接诱导用户下载运行。其最新变种(2025年4月后)更是集远程操控、数据窃取、转账牟利、二次攻击于一体,危害指数飙升!
“银狐” 作为一款黑客工具,已实现广泛去中心化传播。国内安全公司研究发现,其获取和使用门槛极低,任何攻击者皆可轻易上手。目前已监测到至少 5 个活跃且公开的犯罪团伙在利用该木马进行不法活动,而更多不为人知或未曝光的黑产势力,也在暗中持续借助 “银狐” 木马实施违法犯罪,其潜在威胁不容小觑。
攻击目标:
中小微企业主、财务人员、电商从业者、工作人员等,甚至通过AI伪造指令精准诈骗高管。
技术特点:
内存驻留、进程注入、合法签名伪造、免杀等绕过传统杀软检测;加密压缩包+解压密码,规避社交平台拦截。
二、钓鱼手段揭秘
精准拿捏人性弱点
银狐团伙深谙“场景化钓鱼”精髓,利用工资补贴、季度财税申报等节点,设计人性四大致命陷阱:
伪造官方通知:
如“个人所得税退税”“企业所得税汇算清缴通知”,文件名含“金税五期”、“稽查”、“退税”等关键词,诱导用户紧急下载。
压缩包钓鱼:
通过微信群传播“违规记录.rar”“补贴申领.zip”,附解压密码(如“123”),内藏“开票目录.exe”等恶意程序。
好奇心理:
通过承诺提供独家信息、优惠奖励、诱人机会或未公开消息等,激发受害者的探索欲与贪婪心理,使其难以抵制诱惑,从而点击未知链接或下载附件。
认知偏差:
人们在面对大量信息时倾向于简化决策过程,钓鱼者则通过将复杂的网络地址隐藏在简单的链接文字或图标中,或伪装虚假信息为正常信息,使受害者在快速判断时易忽略细节,点击恶意链接或泄露信息。
三、危害触目惊心
数据、资金、声誉三重崩塌
一旦中招,企业将面临:
远程操控:
黑客可实时截屏、操控转账流程,甚至用受害者钉钉、微信等社交账号群发钓鱼链接,形成连锁感染。
数据勒索:
窃取客户身份信息、AI模型等高价值资产,威胁公开数据索要赎金。
算力劫持:
植入挖矿病毒,导致电脑性能骤降,电费暴增!
二次攻击:
以受害设备为跳板,渗透内网服务器或利用受害者社交账号攻击,引发更大规模泄露。
四、全民防御指南
破解银狐陷阱
# 银狐后门安恒专杀工具 #
免费工具,识别银狐专有特征,在线实时同步最新特征信息,涵盖 hash、文件特征、内存特征、特定行为等多维度规则,及时应对不断变化的病毒变种,免安装,高效应急使用。
(下载地址:https://www.dbappsecurity.com.cn/content/details2153_34080.html)
# 企业级防护:安恒专项解决方案 #
1、情报与沙箱:
目前安恒威胁情报已具备相关威胁检测能力,对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
➣AiLPHA分析平台V5.0.0及以上版本
➣AXDR分析平台V2.0.5及以上版本
➣APT设备V2.0.67及以上版本
➣EDR产品V2.0.17及以上版本
安恒云沙盒已集成了海量威胁情报及样本特征。用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn/对可疑文件进行威胁研判并下载分析报告。或可用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。
2、流量APT策略:
APT攻击预警平台基于规则、情报、病毒库可以发现已知的银狐木马病毒投递和回连行为,基于基因图谱、虎鲸沙箱可以发现新出现的银狐木马病毒样本投递行为。目前APT攻击预警平台已具备相关威胁检测,基于威胁情报的实时流量检测,精准识别隐蔽C2通信。请将规则包升级至最新版本。
3、终端EDR策略:
目前明御终端安全及防病毒系统已具备银狐木马运行后终端相关行为检测能力,对应产品已完成相关行为检测规则的集成,请将入侵检测库升级至最新版。
4、终端病毒库策略:
保持病毒库自动更新,将病毒库升级到25.04.30.00及以上版本,使之能检出最新的威胁。
5、AXDR平台:
AXDR通过对网络远控通信、终端风险文件落盘等异常行为进行关联分析,精准定位攻击来源,并进行攻击链路可视,可快速进行溯源分析和处置。
#个人防护铁律#
三不原则:
不点群内加密压缩包、不转未核验链接、拒收非工作时间“紧急通知”。
设备管理:
下班关闭电脑断网,避免夜间被远程操控,非工作时间锁屏。
终端加固:
安装终端EDR等具备内存行为监控、识别远控木马、无文件攻击等防护软件。
五、终极解决方案:
技术+意识双保险
技术防御
➣部署企业级EDR(端点检测响应,具备行为检测分析能力),实时拦截无文件攻击。
➣部暑联动响应处置能力的平台产品(如XDR/态势感知/SOAR等)。
➣更新所有安全设备的版本保持规则策略为最新,确保威胁情报库实时更新策略开启。
➣启用多因素认证,限制高危操作权限,核心设备登录采用短信认证方式通知。
意识提升:
➣定期开展钓鱼演练,模拟“AI伪造高管指令”等最新话术。
➣全员培训:识别钓鱼链接特征(如仿冒域名“g0v.cn”伪装“gov.cn”)。
安恒云沙箱分析报告
结语:安全无假期,警惕不松懈!
