“ 近期中银狐的越来越多了。”
PS:有内网web自动化需求可以私信
01
—
导语
国家互联网应急中心(CNCERT)联合安天科技近日发布重大安全警报:一个名为“游蛇”的黑产团伙(又名“银狐”、“谷堕大盗”)近期活动异常猖獗。该团伙通过伪造与正版几乎完全相同的Chrome浏览器下载网站,诱骗用户下载恶意安装包。
一旦用户不慎下载安装,远控木马即刻植入系统,攻击者便能远程操控受害设备,盗取敏感信息。监测数据显示,该团伙每日控制的境内“肉鸡”设备(以IP数计算)最高已突破1.7万台,累计感染设备约12.7万台,创下近年新高。
01 狡诈多变的黑产威胁
“游蛇”黑产团伙自2022年下半年开始活跃至今,已成为我国网络安全领域的顽固毒瘤。该团伙以窃密和诈骗为目的,针对国内各行业用户发起大量攻击,造成了严重经济损失。
该团伙最显著的特点是攻击手段多样且变化迅速。其主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件三大渠道传播恶意文件。
其恶意文件变种层出不穷,免杀技术更新频繁,使得传统安全防护手段难以有效识别和拦截。攻击目标更是横跨多个行业领域,无特定范围。
02 高度仿真的浏览器陷阱
在此次集中爆发的攻击活动中,“游蛇”团伙采用了极具迷惑性的新手法——伪造Chrome浏览器下载网站。
这些钓鱼网站与谷歌正版官网高度相似,普通用户几乎无法辨别真伪。攻击者精心搭建了多个钓鱼网站,包括:
-
http[:]//google-chrom.cn
-
https[:]//chrome-html.com
-
https[:]//chrome-admin.com/
当用户访问这些伪造网站并下载浏览器时,获取的是一个名为 “chromex64.zip”的压缩包。解压后包含两个文件:chromex64.exe(文件解压程序)和一个文件名采用日月年格式命名的dll文件(疑似恶意程序更新日期)。
03 精密的恶意代码部署
当用户运行chromex64.exe后,恶意程序开始在系统深处悄然扎根。该程序默认在C:Chr0me_12.1.2路径释放文件,其中包含旧版本Chrome浏览器相关文件,但因非正常安装,导致浏览器无法正常更新。
更具欺骗性的是,程序会在桌面创建Chrome快捷方式。这个快捷方式表面正常,实则暗藏杀机——其实际初始运行的是恶意文件,通过携带参数的方式在启动自身的同时启动Chrome浏览器进程,完美掩盖恶意行为。
技术分析显示,攻击者采用了“白加黑”技术手段(dll侧加载)执行恶意代码。恶意文件在内存中解密并执行shellcode,其实质为dll格式的Gh0st远控木马家族变种。
恶意dll加载后,立即连接C2(命令与控制)服务器地址duooi.com:2869。该域名注册于2025年2月19日,是目前最新样本主要请求的域名。
04 不断变换的攻击基础设施
安全研究人员发现,“游蛇”团伙的攻击基础设施具有高度动态变化特性。攻击者基于任务持续注册新域名,并将域名硬编码至加密的shellcode文件中。
监测期间,部分旧有域名频繁更换IP地址,在样本分析过程中,所有域名又经历了两次解析IP地址的变更。这种快速变换增加了追踪和阻断的难度。
已知相关C2域名包括:
-
hiluxo[.]com
-
titamic[.]com
-
duooi[.]com
-
sadliu[.]com
05 多面孔的攻击形态
除了此次集中爆发的伪造浏览器下载站攻击外,“游蛇”团伙还持续使用其他攻击形态:
文档伪装型恶意程序:将恶意程序伪装成办公文档名称,如“2025年4月份第一批信息列表pdf.exe”、“2025年省局辖区315晚会企业曝光名单.exe”等,诱导财务、行政人员点击。
软件安装包捆绑:将恶意组件隐藏在正常应用软件的MSI安装包中,如“Google AI Browser v2.4.1.msi”、“DeepSeek AI Assiant v2.4.5.msi”等热门软件,在安装正版软件的同时悄无声息植入后门。
06 全面防护指南
面对如此狡猾多变的网络威胁,CNCERT与安天科技联合提出以下防护建议:
-
官方渠道下载:仅通过浏览器官方网站下载正版软件,对无官方网站的软件,选择可信来源下载,下载后使用安全软件扫描并校验文件HASH值
-
密码安全管理:使用16位或更长的强密码,包含大小写字母、数字和符号组合,避免多个服务器使用相同口令,并定期更换密码
-
终端安全加固:安装可靠的终端防护软件,定期进行全盘杀毒,及时修复系统漏洞
-
可疑链接警惕:不打开来历不明的网页链接,不安装来源不明的软件
-
资产漏洞管理:企业用户应梳理已有资产列表,建立漏洞修复机制
07 应急响应与处置
若已发现或怀疑设备感染,应立即采取以下措施:
-
切断网络连接:立即断开受感染设备的网络连接,防止数据外泄和远程控制
-
使用专用工具排查:通过安天垂直响应平台下载使用 “游蛇”专项排查工具 和 安天系统安全内核分析工具(ATool) 进行深度检测(平台地址:https://vs2.antiy.cn)
-
终止恶意进程:利用安全工具定位并终止恶意进程,删除相关文件
-
清除恶意计划任务:检查计划任务列表,查找并删除由恶意程序创建的自启动任务
-
全面系统清理:对受害主机进行全面清理,更改所有相关账户密码
-
专业支持:对于企业用户,建议联系安天应急响应团队([email protected])获取专业支持
安全研究人员观察到,“游蛇”团伙平均每48小时就会更换一次攻击域名和IP地址,这种快速变换令传统防御手段难以招架。
网络安全专家提醒,近期在搜索引擎中查找Chrome浏览器的用户需格外警惕。当看到多个所谓“官方下载”链接时,最安全的做法是直接输入“google.com/chrome”访问官网。
随着黑产技术的不断升级,我们每个人的安全防范意识也必须跟上。毕竟在这场看不见硝烟的网络攻防战中,一次谨慎的点击,可能就是守护数字生活的关键防线。
免责声明:
本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具;明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助
第十二条: 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。
第十三条: 国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
原文始发于微信公众号(道玄网安驿站):紧急预警!“游蛇”黑产伪造Chrome官网,日控1.7万台电脑
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论