爆火变爆雷？银狐木马借壳“龙虾”偷家，政企安全防线告急

在“龙虾”（OpenClaw）广泛流行之际， 财务分析人员小王为优化工作流程，也在搜索引擎中一个排名靠前的网站下载安装了软件，安装时闪过的黑窗并未引起他的注意。软件运行正常，他也就没再多想。

然而第二天，电脑开始失控：鼠标自行移动、文件被加密、工作群不断发出可疑链接……噩梦就此开始。

事实上，这并不是孤例。近期，随着“龙虾”（OpenClaw）的广泛流行，网络犯罪分子已经开始在最新一轮攻击中利用这一趋势，通过伪装成OpenClaw的钓鱼页面诱导用户下载恶意安装包。其中，去年便持续高发的银狐木马（Silver Fox） 就搭上了这波“便车”，成为本轮攻击的主力之一。

据360监测，今年3月以来，伪装成OpenClaw的攻击已发生14027次，波及2964台计算机。这些攻击不仅覆盖国内33个省份，还蔓延至51个国家和地区。截至目前，360已累计捕获相关钓鱼站点超180个，一场全球性的“借壳”攻击正在悄然蔓延。

更值得警惕的是，由于用户设备中同时运行着正版OpenClaw，此次攻击的危害呈现明显的“1+1>2”叠加效应，攻击者不仅窃取数据，还可能借助OpenClaw的内网穿透能力进一步渗透，使风险指数级攀升。

银狐借壳暗藏杀机

内网安全岌岌可危

攻击者通常将木马伪装成“OpenClaw本地部署工具 Setup 2.0.5.zip”压缩包，解压后包含一个可执行文件（exe 木马）和一个bat文件。

当用户运行木马安装程序exe时，首先会弹出正常的OpenClaw安装界面以迷惑用户，而木马已在后台悄然启动。它会释放出名为PotaInstaaler.exe的恶意安装程序，进而在C盘释放一组LgRb+v.Y.dll的白利用组合，并读取加密数据。所有释放的文件均被隐藏且权限锁定，防止用户发现或删除。

木马运行后，会将后门模块注入sihost.exe、TrustedInstaller.exe等系统关键进程，并创建多个高权限守护进程相互保护，导致其极难被彻底清除。此外，木马还会利用BYOVD（Bring Your Own Vulnerable Driver）驱动利用技术，加载有漏洞的驱动程序以专门关闭或绕过安全软件，进一步削弱系统防护能力。

经分析，该后门模块为Gh0st RAT家族变种，C2地址为38.190.225.97:22。历史攻击显示，其主要瞄准企业管理员及IT运维人员，目的包括窃取系统及业务账号凭证、获取企业内部敏感数据、盗取虚拟货币等。由于受害者多为高权限用户，一旦感染，攻击者可迅速扩大控制范围，对政企安全造成严重威胁。

具体而言，其实际破坏力主要集中在三个层面：

一、政企内网安全风险

若受害设备为OpenClaw服务器端，攻击者可将其作为跳板，借助绑定的聊天工具或机器人向内网员工扩散钓鱼链接，实现横向渗透。

二、数据泄露与敏感信息窃取

银狐木马可窃取OpenClaw配置文件中的数据库账号及支付接口密钥，进而导出客户隐私数据用于精准诈骗，甚至引发资金风险。

三、开发环境安全隐患

若受害机器为开发设备，攻击者可能在源代码中植入后门，污染软件分发渠道，通过供应链传播扩大攻击面。

由于AI技术的持续赋能将使木马的攻击能力不断进化，风险呈指数级攀升。为此，360建议广大政企机构：尽量在隔离环境中部署OpenClaw，严格控制其权限，避免过度授权；同时，加强网络防护与访问控制等纵深防御措施，筑牢安全防线。

360终端安全智能体赋能

全面猎杀银狐木马

作为国内兼具数字安全和人工智能双重能力的企业，360在自研安全大模型的赋能下，将安全专家的能力和经验进行固化，并结合过去20年积累的海量样本数据、情报能力以及终端安全上1200余项能力点，打造出终端安全智能体蜂群。

针对本轮银狐木马威胁，360终端安全智能体蜂群已具备全面识别与精准拦截OpenClaw相关恶意加载行为的核心能力，可重点监测加载高风险Skill恶意脚本、通过网络下载并落地木马病毒、执行高危系统命令以及发起敏感系统调用等典型攻击行为，一旦发现异常即刻实现动态阻断，并同步完成行为溯源与威胁处置，从而全面斩断攻击链条，筑牢终端安全防线，建议广大政企机构尽快部署。

如有安全部署OpenClaw的需求，可参考360近期发布的全网首份OpenClaw安全部署指南！

想要了解更多详情

欢迎拨打咨询电话

400-0309-360



来源：360数字安全