“大厂招聘”文件？360安全大脑提醒小心新型go语言钓鱼木马

找工作吗？未入职先“中毒”的那种。随着疫情逐渐消退，找工作的人也变得多了起来，而黑客们也开始“伺机而动”，冒充名企招聘人员大肆投放“带毒”的虚假招聘文件。

近日，360安全大脑独家发现，有不法黑客团伙打着企业招聘的幌子，通过微信等通讯工具传播新型go语言编写的钓鱼木马。不过广大用户无需担心，在发现该威胁的第一时间，360安全大脑已率先发布安全预警，并对此类木马进行全方位查杀和拦截，保护政企多端用户数据及财产安全。

钓鱼木马化身“伪装者”

藏身“大厂”招聘文件浑水摸鱼

从360安全大脑捕获的恶意样本来看，此类木马通过使用神似word文件的图标，以及超长文件名模糊.exe后缀的方式，“变装”流窜网络。在发现该木马后，360安全大脑对其展开了持续追踪，经分析发现，该钓鱼木马在利用多重方式隐藏自身的同时，还会将文件取名为知名互联网企业招聘情况介绍等名称，以迷惑不明真相的用户。

360社区

值得注意的是，该钓鱼木马由go语言编写。正如此前360安全大脑数据报告中强调的那样，由于go语言本身的复杂性对于传统杀软基于特征码的查杀有较好的免杀效果，导致越来越多的木马趋向使用go语言编译制作。

下图为该木马在vt上的杀软报毒情况：

360社区

释放“word”的诡诈木马

监控屏幕记录键盘多线放毒

分析过程中，360安全大脑发现，相比于常规木马，该木马会首先从自身文件数据里解压出file.docx，并从环境变量里找到cmd启动file.docx。

360社区

file.docx是一份正常的word文档，内容和exe的文件名相符合，其作用是让受害用户误以为启动的只是这份word文档，起到欺骗用户从而隐藏自身的作用。

其会根据检测虚拟机及调试环境结果判断是否继续执行，有异常则立即退出。

360社区

同时，其会从网络下载key、nonce、buf文件并使用base64解码。

360社区

而后，其将key,none用AES-256-gcm算法解密buff，解出一段shellcode。

360社区

最后，跳入shellcode执行。

360社区

该shellcode是一个ReflectiveLoader，其作用是在内存中解出自身包含的srv.dll并执行其代码。而srv.dll是用Cobalt Strike生成的一个后门木马。

360社区

在执行shellcode后会转入srv.dll部分，srv.dll主体代码流程如下：

360社区

该木马模块从内存中解密获取要连接的木马服务器访问列表。

360社区

获取到列表之后依次循环遍历服务器地址，直到成功连接上远程控制服务器。

360社区

然后从可连接服务器网址443端口中读取控制数据，根据远程下达的不同指令执行对应的代码，该木马可以执行屏幕监控、上传下载文件、键盘记录、运行任意程序等危险操作。

360社区

360社区

全线截杀木马威胁

360安全大脑赋能防御全场景

在网络安全环境越发复杂，木马等常规威胁亦趋向多变的背景下，360安全大脑赋能下的新一代防护体系，先后推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力，以及RDP爆破攻击，web应用系统漏洞，webshell攻击等多项针对服务器的防护能力，持续为政企多端用户输出安全防护力。

目前，在360安全大脑的强势赋能下，360安全卫士等系列产品可在第一时间拦截查杀此类木马威胁。同时，面对诡诈多变的钓鱼木马威胁，360安全大脑针对广大政企多端用户，给出如下安全建议：

1. 对于个人用户，可及时前往weishi.360.cn下载安装360安全卫士，强力查杀此类病毒木马；
2. 对于广大政企用户，可通过安装360终端安全管理系统，有效拦截木马病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；而对于小微企业，则可直接前往safe.online.360.cn，免费体验360安全卫士团队版，抵御木马病毒攻击；
3. 对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；
4. 提高安全意识，不随意打开陌生人发来的各种文件，如需打开务必验证文件后缀是否与文件名符合。

360社区

来源  360安全卫士