警报!木马病毒“银狐”变种来袭 飞天诚信:它可助您“斩断魔爪”
银狐木马(又称"游蛇"、"谷堕大盗"、"毒鼠")是一款近年来在国内高度活跃的远程控制木马(RAT),自2020年首次出现,2022年9月起进入集中爆发期。该病毒主要针对政府、高校、医疗、企事业单位等关键行业的从业人员,特别是管理人员、财务人员、销售人员及电商卖家实施精准攻击。
“银狐”木马已形成地下灰色产业链,其源代码被二次售卖导致变种不断进化,对个人和企业终端安全构成持续威胁。近日,“银狐”木马家族的最新变种被截获。该变种通过钓鱼网站进行传播,其核心特点在于高度规避性和模块化。它综合利用了多层文件释放、进程注入、安全软件网络功能阻断等高级技术,最终在内存中加载功能齐全的远程控制木马,极大增加了检测和分析难度。该木马具备信息窃取、系统监控和远程控制能力,对企业及个人用户构成严重威胁。
图源:亚信安全公众号银狐木马采用多渠道钓鱼攻击,常见传播方式包括:
即时通信软件传播:通过微信、QQ、钉钉等发送伪装成"税务稽查通知"、"转账通知单"、"成绩单"等钓鱼文件或恶意链接;
钓鱼网站传播:仿冒税务机关、成绩查询、录取查询等官方页面,诱导用户下载恶意程序;
虚假软件传播:伪装成WPS、钉钉、PDF工具、搜狗拼音等常用软件,通过搜索引擎或第三方平台传播;
邮件附件:以"工作通知"、"缴费单"、"补贴申请"等名义发送含木马的压缩包;
其他方式:网盘/短信链接、高仿社交账号冒充企业高管实施定向诈骗
前几天的钓鱼邮件,不知是否藏着“银狐”……
一旦感染,可能被攻击者深度潜伏、全面操控:
远程控制:长期驻留系统,随时接收指令执行关机、删除文件、下载新病毒等操作;
数据窃密:实时记录键盘输入、截取屏幕画面、窃取账号密码和财务信息,甚至远程查看聊天记录;
横向传播:利用受害者即时通信软件创建诈骗群,发送针对性钓鱼信息,引发二次传播;
痕迹清理:自动清理系统日志、关闭杀毒软件防护,实现"毁尸灭迹"。
结合“银狐”木马病毒新变种传播活动的特点,建议采取以下防范措施:
不轻信微信群、QQ群或其他社交媒体软件中传播的所谓政府机关和公共管理机构发布的通知及相关工作文件和官方程序(或相应下载链接),通过官方渠道进行核实;
保持防病毒软件实时监控功能开启,将电脑操作系统和防病毒软件更新到最新版本;
使用强密码(口令)并定期更换,启用多因素认证(#MFA)。
“银狐”木马案例:广西贵港某公司的何会计用电脑登录个人微信账号,突然发现自己的电脑出现异常情况:电脑屏幕上的鼠标图标在自行移动,仿佛有一只无形的手在远程操控着自己的电脑,并在逐个向通讯录的人员和群组发送广告信息和不明链接。她立即向公安机关报警。经查,公安网安部门发现其所使用的电脑中了“银狐”木马病毒。
图源:平安泰州公众号金融行业标准JR/T 0068《网上银行系统信息安全通用规范》指出,“网上银行客户端(包括手机银行App)环境通常不具备或不完全具备专用金融交易设备的可信输入能力、可信输出能力、可信通讯能力、可信存储能力和可信计算能力,因此,需要使用专用安全机制”。智能密码钥匙(俗称“U盾”、“K宝”等)就是典型的专用安全机制之一。此类产品主要是用作数字证书的安全载体,提供“PIN+数字签名”的多因素认证机制。
#bInterPass3000(“蓝牙二代key”)是飞天诚信为网上银行以及手机银行提供的智能密码钥匙。该产品不仅具有智能密码钥匙的#MFA功能,还具备以下特点:
“所见即所签”:交易时通过自身屏幕显示交易信息供用户核对,待用户按键确认后生成交易所需的数字签名;
防远程控制:报文解析及确认响应等关键环节在产品内部的安全芯片完成,不受外界干扰。即使电脑或手机被远程控制,攻击者也无法操控bInterPass3000。用户按下bInterPass3000的“取消”键即可及时取消交易,从而有效阻断电信网络诈骗。
bInterPass3000支持Windows、Linux、#鸿蒙NEXT、iOS、Android等多种操作系统以及#信创操作系统(统信UOS、麒麟等),可配合多种主流浏览器使用。bInterPass3000获得了网络安全产品检测证书,并且通过了第三方安全检测机构的检测,服务于多家网上银行以及手机银行。
数字世界里,没有绝对的安全孤岛,只有时刻警惕的守护者。"银狐"的狡猾提醒我们:再坚固的防火墙,也可能被一颗轻信的鼠标点击击穿。真正的安全,是技术防护与安全意识的"双因子认证"——既要让杀毒软件保持警醒,更要让自己保持怀疑;既要用好bInterPass3000这样的物理屏障,更要记得:任何紧急通知,都值得您多花三分钟去官方渠道核实一次。因为最好的防御,永远是您心中的那道"确认键"。