暗流涌动：钓鱼木马再来袭

前言

    近期，钓鱼木马攻击仍在持续，其核心攻击流程虽未发生显著变化，但攻击者不断升级对抗手法以突破安全防线。攻击者通过伪造工具官网（如浏览器、VPN、白板工具等）、恶意IM/邮件钓鱼、伪装成合法安装包（NSIS/Inno/MSI文件）等手段，诱导用户下载并执行恶意程序。腾讯云安全威胁情报团队持续跟进钓鱼社工攻击，基于行为沙箱仿真、静态杀毒引擎特征，聚类算法及云端威胁情报生态，构建了全链路动态防御体系。助力企业及安全人员应对新型威胁，腾讯安全威胁情报中心（tix.qq.com）提供文件哈希、IP/域名风险判定及沙箱动态行为分析等能力，支持一键查询IOC关联信息与沙箱行为信息，为安全研判与主动防御提供坚实支撑，持续强化威胁狩猎与情报共享，筑牢数字时代的安全防线。

腾讯云安全威胁情报团队对近期捕获的钓鱼木马进行详细的分析分类，整体上钓鱼类的社工攻击仍在持续，木马的运行流程攻击手法没有太大变化。对抗手法主要集中在第一阶段文件免杀层面。监测到很多通过伪造工具安装包，黑客尝试通过各种方法，将恶意文件，通常是黑DLL，嵌入到MSI/Inno等安装包，另外就是黑客寻找利用可以加载恶意DLL的签名白文件。整体的木马攻击流程仍然为以下流程。

钓鱼木马典型攻击流程如下：攻击者首先通过即时通讯工具（IM）、钓鱼邮件或恶意网站传播伪装成正常文件（如伪造的快递通知、工资补贴文档等）的恶意程序；通过文件打包实现第一层文件层面的静态免杀，随后利用代码混淆（如字符串拆分、控制流平坦化）和加壳工具（VMProtect）保护恶意DLL，规避传统杀毒软件检测；接着通过劫持合法进程（如Explorer.exe）进行内存注入，借助Shellcode动态解密技术释放恶意载荷，最终加载远控模块，建立与C2服务器的加密通信链路，执行数据窃取、屏幕监控等指令，并通过注册表或计划任务实现持久化驻留，形成完整的攻击闭环 。

腾讯云安全威胁情报团队近期关注到相关钓鱼网站，伪造常用的工具如浏览器，VPN，白板工具等，通过搜索引擎，各种渠道诱导用户，点击下载钓鱼木马。用户在下载和安装常用工具时，建议在官方网站等渠道下载安装，谨慎点击不明来源的下载链接，辨别仿冒的钓鱼网站。

• 伪造Chrome浏览器网站：

• 伪造白板工具网站：

        黑客和病毒木马作者会以各种方式将恶意文件，恶意代码藏匿于正常文件之中，以此来躲避终端安全软件对文件的静态扫描。

        近期常用的隐匿方法：

• 打包恶意文件到安装包，如nsis，inno，msi文件

• 仿造常见的安装包，实现无提示，静默安装

• 修改正常的工具软件，安装包等，增加shellcode代码，下载或加载恶意文件

案例1：

cb75153aa34c861731b1ba7ed4b3e0a5

通过版本和字符串信息可以看出该文件是个DHCP小工具

入口也是正常编译入口

但仔细观察程序的入口，jmp跳转后的代码已被修改，包含大量无效，混淆指令，大循环来对抗静态分析及杀毒引擎的虚拟执行检测。

案例2:

afd6817577c9bfd32404b4f3885c919c

通过静态分析工具查看文件显示inno安装包

尝试用inno提取工具无法解析提取

通过动态分析运行文件，安装窗口一闪而过，实现用户无感知的静默安装，极其隐蔽的启动恶意代码。

利用白文件加载恶意DLL仍然是目前钓鱼木马常用的主流绕过检测的技术

• 病毒作者持续寻找各可以用来加载恶意DLL的各式各样的白文件

• 在恶意DLL上增加对抗强度，增强代码混淆，加强壳，文件膨胀等

简单混淆 e84026f81a8d6143ce410a326d894cfe

加强壳如VMP 

案例：

3a95dab799815de4f14656d6aaff1b5c

        Shellcode 在恶意软件中主要用于注入并执行恶意代码，其核心功能包括提权攻击、建立持久化后门（如反向 Shell）、窃取敏感数据（密码、密钥）、横向渗透内网主机，以及通过规避检测（如无空字节、地址随机化）对抗安全防护机制，最终实现隐蔽控制目标系统或发起进一步攻击。  

Shellcode在钓鱼木马攻击中是必备工具，绕过静态检测的重要手段：

• Shellcode位置无关代码，可通过加密，隐蔽于文件，从网络获取

• 可实现多层嵌套，解密执行，更难以检测

• 相比于编写代码，修改难度要高

        Shellcode 加载绕不过内存操作，攻击者将编码后的 Shellcode 注入目标进程（如浏览器、服务程序）的内存空间，劫持程序执行流，跳转到 Shellcode 地址运行。

通常涉及内存分配（VirtualAlloc/HeapAlloc）、权限提升（VirtualProtect 修改执行权限） ，指令跳转，回调函数等多种手法。

以下为近期的案例，相关类似加载代码在去年就已经发现，现在仍在使用，变化不大：

        钓鱼木马最终目的是控制用户的电脑，经过前面几个阶段，躲避安全软件的查杀，最终通过远控模块实现对用户的控制。

        基于近期监测数据，远控模块多源于，开源远控项目修改，相对对抗变化手法，远低于文件母体Loader，去年就监测到的远控模块仍在持续活跃。

案例:

导出函数Edge, 有明显特征，历史监测过同类样本

可疑字符串

远控指令逻辑：键盘记录，关闭进程，注册表操作等

        腾讯云安全威胁情报团队基于威胁狩猎技术和多源情报生态对钓鱼木马进行持续跟踪，构建了针对钓鱼木马的全链路动态体系。通过行为沙箱仿真+静态特征聚类双引擎，精准识别钓鱼木马；依托杀毒引擎，结合沙箱分析，内存行为监控白加黑进程注入、Shellcode解密等关键攻击动作。同时，通过云端威胁情报实时同步机制，覆盖邮件、IM、漏洞利用等多类传播渠道，有效降低企业数据泄露与勒索风险，持续加固数字时代的安全防线。

        腾讯安全威胁情报中心(tix.qq.com),  支持对可疑文件，域名，IP进行查询分析，获取丰富的情报参考信息，如恶意判定，域名信息，沙箱动态行为等等，辅助安全人员分析研判。

• 文件哈希查询：支持对可疑文件信息查询，如文件安全属性，关联IOC等

• IP，域名查询: IP/域名安全属性，情报标签，关联样本等

• 沙箱动态行为检测：高危行为，ATT&CK行为，规则判定等

        当前钓鱼木马攻击仍以传统攻击链路为主，但攻击者通过伪造工具官网诱导下载、恶意DLL嵌入安装包、白加黑进程劫持、Shellcode动态解密等技术组合，持续升级对抗能力，实现隐蔽驻留与持久化控制。尽管攻击流程变化不大，但其利用静默安装、代码混淆（如VMP加壳、控制流平坦化）等手段，仍能有效规避传统检测机制，导致企业数据泄露风险。面对钓鱼木马的持续威胁，需构建“预防-检测-响应”闭环体系，结合情报，方能实现主动防御。

防护建议 ：

• 警惕来源不明的文件下载链接（尤其是伪装成浏览器、VPN、办公工具的安装包），避免点击可疑IM/邮件附件，在软件官方网站下载常用软件。

• 部署终端检测与响应（EDR）工具，监控进程注入、内存Shellcode解密、注册表篡改等异常行为。定期更新杀毒软件规则库，更新操作系统安全补丁。

• 集成云端威胁情报（如腾讯安全威胁情报中心），实时同步C2服务器IP/域名、恶意哈希及杀毒引擎，阻断攻击链路。对可疑文件可通过  tix.qq.com  查询哈希、IP/域名风险及沙箱动态行为分析报告，辅助快速研判。

关联Hash

cb75153aa34c861731b1ba7ed4b3e0a5

afd6817577c9bfd32404b4f3885c919c

e84026f81a8d6143ce410a326d894cfe

3a95dab799815de4f14656d6aaff1b5c

3217ead80c530790c1526dcdd6a8d347

关联IOC

google.tw.cn

8.217.144.163

103.106.191.3

https://tix.qq.com/sliverFoxDetail

原文始发于微信公众号（腾讯安全威胁情报中心）：暗流涌动：钓鱼木马再来袭