紧急预警！银狐木马升级“远控+勒索”混合攻击

“您好，有人举报您公司网站存在违规内容，请联系投诉人协商，否则将立案处罚！”

近期，全国多地企业遭遇这类官方口吻的诈骗电话。受害者因担心被立案，纷纷按要求添加“投诉人”微信，随后便收到标注“撤销举报需核验”的钓鱼邮件。邮件里明确诱导“暂时关闭360等安全软件，否则无法解压案件资料，不少企业员工急于处理，未加核实便运行了附件。
一旦点击，银狐木马立即启动攻击。更危险的是，银狐木马随后又继续下载并执行了 LockBit 5.0 勒索软件，加密电脑中的重要数据并索要赎金，给受害者造成巨大损失。
目前，360终端安全智能体已完成对银狐木马及LockBit 5.0勒索软件的全面查杀覆盖，个人与企业用户可立即升级防护，抵御“混合双打”攻击。
图片
图片
银狐木马“混合攻击”完整链条：
隐蔽性拉满，规避检测
银狐木马此次攻击以“电诈式社工手法”为核心，每一步都精准抓住受害者心理，完整攻击流程如下：

1
诱饵投递：“真假文件”混淆视听
钓鱼邮件附件的压缩包中，故意搭配“伪装文档”（doc格式的“撤销说明”）和可执行文件（exe木马），让受害者误以为exe是打开文档的“辅助程序”，降低对可执行文件的警惕性。

钓鱼邮件中的附件内容

2
部署过程：“白加黑”加载器绕防护
而这个exe就是攻击者精心伪装的木马安装程序，它表面上看起来像是正规文件，实际上是用 Inno 安装程序打包的木马，运行后会释放“白程序+恶意DLL”组合。

3
代码隐藏：LSB隐写技术藏核心木马
木马DLL加载后，便开始了ShellCode的解码与加载。攻击者使用的是一张PNG图片，但这张图片并不普通——里面暗藏着木马的核心代码。与传统伪装方式不同，攻击者没有简单粗暴地把恶意程序改个后缀名伪装成PNG文件，而是更隐蔽地使用了LSB隐写技术。
简单说，这种技术就是把恶意代码藏在图片“像素的最末位数据”里，既不会破坏图片的外观，受害者打开图片时能正常看到，但实际已经悄悄把恶意代码藏进图像数据中。

隐藏木马代码的图片

4
多层加密混淆：掩盖真实恶意载荷
解密后的ShellCode包含多层封装，经过对这些层级逐一解密和解压，最终还原出一个远程控制程序（RAT）。这一连串多层加密与混淆手法说明攻击者刻意将恶意代码隐藏起来，以逃避安全检测并延缓分析与响应。
360数字安全集团通过特征比对确认，它与近期常见的“银狐”类远控木马高度相似。这表明攻击者使用的是银狐木马的“泛化版本”——也就是说，这类木马已被多个黑灰产攻击团伙购买并重复利用，成为一种被广泛流通的网络攻击工具。
5
投放勒索软件：专业级加密与威胁
木马在控制受害者设备一段时间后，又向受害者计算机投送了勒索软件。

投放勒索软件

其中Chuongdong64.exe是LockBit 5.0勒索软件木马。LockBit被认为是目前全球最活跃、最知名的“勒索软件即服务”（RaaS）运营组织之一，自2019年出现以来持续迭代更新。
最新变种LockBit 5.0使用XChaCha20作为文件加密算法，XChaCha20是一种流密码（Stream Cipher），它是ChaCha20加密算法的变体。主要特点是引入了扩展的随机数（Extended Nonce），从而极大地提高了在大规模数据加密或长时间会话中的安全性，解决了随机数碰撞（Nonce Reuse）的风险，新的变种使用随机16个字符的扩展名：

XChaCha20算法代码

在完成加密操作后，勒索软件会留下文本文件作为勒索信息，打开该信息中所留的暗网链接页面，发现页面中列出了多家企业的数据已被公开。

勒索软件在暗网中的受害 者公示页面

360终端安全智能体：
针对性破解“混合攻击”
作为国内唯一兼具数字安全和人工智能双重能力的企业，360在自研安全大模型的赋能下，将安全专家的能力和经验进行固化，并结合过去20年积累的海量样本数据、情报能力以及终端安全1200余项能力点，打造出终端安全智能体蜂群。
针对银狐木马的隐蔽攻击链与“远控+勒索”双重危害，360依托终端安全智能体蜂群构建起智能化立体防护体系，实现从传播拦截到应急处置的全周期防御：
在木马传播的初始阶段
该体系中的下载安全防护模块已实现对主流通讯软件的全链路覆盖，可对通过钉钉、微信、QQ等渠道传播的恶意文件进行实时检测，在木马落地前即完成自动查杀。
针对攻击者精心设计的对抗手段
比如遭遇掺杂大量干扰文件的多文件攻击，抑或是面对超大文件规避检测的传统伎俩，以及针对加密压缩包和“配置型白利用”等新型攻击方式，该体系皆可依托终端安全智能体蜂群赋能的智能分析系统，将安全专家的分析经验汇集于模型之中，快速从各类扫描数据中找出符合以上攻击特性的样本，从而实现自动阻断拦截。此外，还会对无法识别的可疑文件进行标记，并持续监测其后续行为。
对于传输过程中的漏网之鱼
360主动防御智能体会对用户电脑提供强力保护。近期，银狐木马常用的攻击包括PoolParty注入、模拟用户点击、WFP断网、安全软件驱动利用、Windows Defender策略滥用等，360主动防御对这些攻击均能进行有效防御，并对发现的漏网之鱼进行清剿。
在终端处置环节
360云安全立体防护体系中的远控·勒索急救模式展现强大应急响应能力。该模式可一键切断攻击者控制通道，为深度清理争取宝贵时间窗口。此外，该体系不仅支持对各类驱动级木马的清理、对被篡改的系统配置进行修复，也支持对被银狐木马利用的合法管理软件的智能检测与卸载。
目前，360 已完成对银狐木马所有变种的查杀覆盖，建议立即升级终端安全产品，筑牢防护屏障。

想要了解更多详情

欢迎拨打咨询电话

400-0309-360

来源  360数字安全