FaCai钓鱼团伙正通过谷歌搜索引流进行攻击

腾讯安全科恩实验室（以下简称“腾讯科恩”）持续基于多源数据的威胁情报分析以及系统自动化方式，捕获可疑钓鱼样本。近日腾讯科恩发现有攻击者在谷歌搜索购买某翻译软件的引流服务，以达到相关用户在谷歌搜索"有**典"时，将伪造的下载网站在前两个结果里面显示。如果用户通过这些网站下载并安装了相关文件，自身电脑就会被植入远程控制木马。

经过对攻击样本的分析，发现该团伙攻击时使用的免杀技术、持久化技术、通信端口、通信数据加密特点均与"Facai"团伙一致，因此认定为该攻击为"Facai"团伙所为。

此次攻击者采取的手段为将木马文件嵌入常用的翻译类软件的安装包，外语相关工作的从业人员会相对容易受影响，被钓鱼的成功率也会相对较高。同时，该团伙在攻击过程中还会安装正常的软件，具有一定的迷惑性。在免杀技术方面，除了此前发现的将二进制数据通过注册表进行保存，此次攻击还使用了不常见的AutoHotkey脚本，以及Python脚本内存执行shellcode方式进行木马加载，全程无恶意PE文件落地，加大了杀毒软件检测难度。

腾讯安全科恩实验室提醒企事业单位及个人用户，避免在不受信任的网站下载软件安装包，特别需要关注下载站点的地址，是否存在模仿某些知名产品官方网站的情况，避免在日常的软件安装过程中被植入木马，造成不必要的损失。

安装包运行后会在用户文档目录下释放一个快捷方式，通过快捷方式启动Windows脚本执行工具AutoHotkey.exe，该工具会执行攻击者编写的特定脚本文件AutoHotkey.ahk，并通过脚本启动翻译软件真正的安装包，但同时会执行下载木马相关代码。

AutoHotkey.ahk脚本内容，主要分为启动正常软件安装和下载木马相关文件两个部分：

AutoHotkey完成木马payload下载后，进一步执行Python脚本，在python代码中加载shellcode：

shellcode最终加载经过修改的Gh0st远控木马，木马连接C2地址：154.82.84[.]205:6666

根据该攻击团伙使用的远控木马类型、安装计划任务进行持久化攻击、将木马二进制数据写入注册表HKEY_CURRENT_USERConsole�、与C2通信使用"6666"端口进行通信，并且加密流量文本反复出现"6666.6"等特点，科恩团队确认该攻击归属于此前发现的"FaCai"钓鱼攻击团伙(情报速递20240422｜FaCai钓鱼团伙正针对企事业单位发起攻击)。