关键词
黑产
一、活动概述 🌐👀
- 发布单位
国家互联网应急中心(CNCERT)与安天科技。 - 黑产团伙
又称“银狐”、“谷堕大盗”、“UTG-Q-1000”,主要攻击目标为Chrome浏览器用户。 - 主要行为
伪造Chrome浏览器下载站,诱导用户下载恶意软件,从而植入远控木马,窃取敏感数据。 - 感染规模
每日境内肉鸡数最高超过1.7万,累计约12.7万台设备感染。
二、攻击手法 🎣🕸️
-
伪造网站:
-
攻击者通过SEO推广伪造的Chrome浏览器下载站,站点与正版高仿,难以识别。-示例网站包括图1和图2,及其它多个钓鱼网站。 ![游蛇风险提示:警惕伪装的Chrome下载站]( "【安全圈】“游蛇”风险提示:警惕伪装的Chrome下载站")
钓鱼网站示例1
![游蛇风险提示:警惕伪装的Chrome下载站]( "【安全圈】“游蛇”风险提示:警惕伪装的Chrome下载站")
钓鱼网站示例2
-
恶意下载包:
-
用户下载的安装包名为“chromex64.zip”,包含潜在的恶意程序。 -
解压后文件名采用日期格式编码,伪装正常程序。 -
安装后行为:
-
安装程序释放旧版本Chrome浏览器文件,导致无法正常更新。 -
在桌面创建快捷方式,在后台运行恶意文件,启动浏览器掩饰恶意行为。
三、感染数据 📊📈
-
每日上线肉鸡数:
-
2025年4月23日至5月12日期间,每日上线肉鸡数最高达1.7万余台。 -
C2日访问量最高达到4.4万条。 -
累计感染:
-
累计约12.7万台设备受感染,数据仍在增加。
四、攻击流程说明 🕸️🛠️
- 钓鱼网站诱导
:用户通过搜索引擎 clicking 钓鱼链接,进入假冒Chrome下载站。 - 下载恶意包
:用户下载“chromex64.zip”,解压并运行后释放恶意文件。 - 远控木马植入
:恶意程序连接到C2地址(如duooi.com:2869),允许多远程控制设备。 - 数据窃取
:攻击者通过远控木马窃取用户敏感信息,进行诈骗等活动。
五、防范建议 💡🛡️
-
下载软件:
- 正版来源
必须从官方网站或可信来源下载软件。 - 安全检查
下载后用杀毒软件扫描并校验文件HASH,确保文件安全。 -
谨慎点击:
-
不要随意点击来历不明的链接,不 要安装未知来源的软件。 -
密码管理:
- 强化密码
设置16位以上的复杂密码,包含大小写、数字和符号。 - 定期更换
避免使用相同密码,定期更新密码,防止被破解。 -
资产管理:
-
梳理现有设备和系统,及时修复已知的安全漏洞,减少攻击面。 -
安全软件:
-
安装可靠的终端防护软件,定期运行全盘扫描,及时消除威胁。 -
感染处理:
-
如果发现设备被感染,立即确认受控情况和入侵途径,及时清理木马程序。
六、相关技术信息IOC 🔍🛠️
-
样本MD5:
-
A1EAD0908ED763AB133677010F3B9BD7 -
ED74A6765F2FFEE35565395142D8B8B4 -
10FAC344D2F74D47FF79FE4A6D19765E -
恶意IP:
-
104.233.164.131 -
61.110.5.21 -
137.220.131.139 -
137.220.131.140 -
恶意域名:
-
hiluxo.com -
titamic.com -
simmem.com -
golomee.com -
duooi.com -
sadliu.com -
恶意URL:
-
http://google-chrom.cn -
https://google-chrom.cn -
https://chrome-html.com -
https://am-666.com -
https://chrome-admin.com -
https://zhcn.down-cdn.com/chromex64.zip -
https://cdn.downoss.com/chromex64.zip -
https://oss.downncdn.com/chromex64.zip -
https://cdn-kkdown.com/chromex64.zip
END
原文始发于微信公众号(安全圈):【安全圈】“游蛇”风险提示:警惕伪装的Chrome下载站
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论