关于银狐
银狐木马是一种针对企事业单位管理人员、财务人员、销售人员及电商卖家进行钓鱼攻击的恶意软件。该家族木马主要通过伪装成与工作相关的文件,如发票、财税文件等,诱骗用户点击下载和执行,从而实现对目标计算机的远程控制。
银狐通常利用“查_看_uninstall.exe”、“11月名单.exe”等文件名来针对性地误导其目标受害群体,并通过QQ、微信等即时通信软件发送钓鱼文件或网站链接,最终实现受害用户的主动执行。
漏洞挂马
近期,一个被长期跟踪监控的银狐木马团队在传播手段上又有了新的变化。除了继续通过以往的传播途径外,该团队还进一步新增了对政企网站的挂马攻击。具体而言,他们是利用了正规网站中所存在的已公开漏洞,将银狐木马和钓鱼页面植入到网站中,再进行传播。这些政企网站就成了银狐木马的“传播源”,被攻击的网站包括政府网站、企事业单位网站和多家大型国企网站。这些网站的网址,一般会受到聊天软件和安全软件的信任,利用这些网站进行挂马,更容易突破防御进行传播,也更容易获得用户信任。
被攻击者利用的,主要是Web应用的上传漏洞。利用图片,附件等的上传接口,很多应用对上传接口检测不严格,对上传文件的访问没有限制,造成攻击者上传病毒文件或挂马页面,之后获取到访问链接,就能够直接传播和发起攻击。
目前发现已被利用的网站漏洞有KindEditor、WordPress、UEditor、ThinkPHP等数十款热门Web应用漏洞。国内某博物馆的主页便使用了带有漏洞的UEditor编辑器,这也导致了其主页被黑客篡改并植入了银狐木马。一旦有用户访问该页面,便会执行恶意链接并跳转到某盘的木马下载共享链接进行木马下载操作。
由于该网站属于是正规网站,可信度较高,用户难免放松警惕执行了木马,最终导致用户的机器遭到银狐木马的感染和控制。
(来源:安全客)
原文始发于微信公众号(天锐数据安全):邪恶银狐再出新招——Web漏洞成切入点
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论