熟人发来的退税链接?小心银狐盗刷陷阱

admin 2025年6月9日16:58:06评论2 views字数 3414阅读11分22秒阅读模式

一、事件概述

近期,安恒信息猎影实验室观测到多起由“银狐”威胁体发起的钓鱼攻击活动。该木马主要通过仿冒网站的SEO投毒和钓鱼邮件进行传播一旦用户中招,攻击者会在受害主机上植入ValleyRAT、HackBrian RAT、Winos等远控木马并劫持用户正在运行的微信、钉钉等社交或办公软件,冒用受害者身份向联系人散布虚假的“退税”、“补贴”等诱饵链接。点击者如信以为真填写银行卡信息,其存款最终将被攻击者通过POS机盗刷

本文将对近期活跃的“银狐”威胁体攻击链条进行详细剖析与披露。若您或身边人员发现类似可疑活动,请务必高度警惕,谨防财产损失

二、银狐攻击活动分析

本次银狐威胁体攻击活动链路大致如图:

熟人发来的退税链接?小心银狐盗刷陷阱

攻击流程可大致分为三个阶段,分别是:木马投放阶段、木马加载阶段和信息收集阶段。

1

木马投放阶段

木马投放阶段主要通过两种方式,第一种为SEO投毒,攻击者通过购买某个软件的搜索引擎排名(常见为WPS、钉钉、向日葵等),当用户想要下载相应软件时,往往会因其排名靠前而点击进入攻击者构造的钓鱼网站。

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

另一种投放方式为发送包含恶意文件或恶意链接的电子邮件,安全意识薄弱的人员往往会信以为真,并点击邮件中的恶意链接或文件。

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

邮件中的恶意文件经常通过替换文档图标、双扩展名等方式迷惑用户。

熟人发来的退税链接?小心银狐盗刷陷阱

2

木马加载阶段

木马加载阶段主要任务为绕过安全监测,成功将远控木马执行。银狐威胁体通常采用以下几种方式加载远控木马:

白利用与内存加载技术

伪装合法程序

运行具有合法代码签名的文件,这些白程序本身无害,但会加载同目录下的恶意加密文件,后者在内存中解密为恶意DLL并执行。

无落地文件

通过向云服务请求获取加密的木马文件,接收数据直接加载到内存执行

进程注入与伪装技术

进程shellcode注入

将shellcode写入内存后,通过创建线程或直接调用的方式执行恶意代码。

反射dll注入

将dll文件和加载dll所需的代码写入进程,运行加载代码从而执行恶意代码。

APC注入

将目标DLL路径或自定义代码写入目标进程内存,为目标线程分配APC队列项,当目标线程进入可警告状态时执行注入的代码。

滥用系统机制绕过安全防护

提升权限

通过系统或软件漏洞绕或UAC提升自身权限

结束安全软件

遍历主机进程,如果进程名出现在预设的杀毒软件名单中,则结束进程。

近期银狐威胁体使用的最为常见的远控木马为ValleyRAT,也称HackBrian RAT,该远控软件运行时会解密出配置信息,目前观察到的解密方式包括反转字符串和base64编码。

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

ValleyRAT运行具有以下功能:

命令代码

功能描述

0x00

加载插件

0x01

加载插件并将其写入注册表项 HKCUConsole1{客户端 MD5 ID}

0x02

关闭与C2服务器的连接

0x03

获取当前活动窗口的标题和用户屏幕的截图

0x04

屏幕截图

0x05

写入并执行文件

0x06

从URL下载并执行文件

0x07

更新注册表

0x08

查找具有特定可执行文件名的进程

0x09

向C2服务器返回硬编码字节 0x13

0x0a

发送用户屏幕上特定区域的截图

0x0b

清除应用程序、安全和系统事件日志

0x0c

重启恶意软件进程

0x0d

终止恶意软件进程

0x0e

强制注销系统

0x0f

强制重启系统

0x10

强制关闭系统

0x11

更新加载插件

0x12

更新当前配置并将其写入 HKCUConsoleIpDate

0xc9

与命令0x03相同,但截图的发送取决于命令参数中指定的标志

0xca

禁止系统自动进入睡眠状态

3

信息收集阶段

在成功获取受害主机控制权限后,攻击者将在系统中操作微信、钉钉或邮箱等通信软件,以受害者的身份在受害者的社交圈进一步钓鱼,常见的一种方式是在群组中传播恶意软件或链接。

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

点击链接看到攻击者伪造的政府公文和二维码。

熟人发来的退税链接?小心银狐盗刷陷阱

扫码后将进入攻击者伪造的填写个人信息界面,这一过程将引导受害者填写姓名、身份证、手机号、银行卡号及密码、短信验证码等敏感信息。

熟人发来的退税链接?小心银狐盗刷陷阱

攻击者将通过这些信息绑定Apple Pay,并通过POS机刷走银行卡余额。

熟人发来的退税链接?小心银狐盗刷陷阱

三、活动总结

银狐威胁体展现了一条完整的、极具欺骗性的网络犯罪链条。它的危害不仅在于其技术手段的隐蔽性,更在于它对我们信任的日常工具和人际关系的恶意利用。

这提醒我们:面对网上突如其来的“好事”,尤其是熟人发来的涉及金钱操作的链接,务必保持高度警惕,多方核实(如直接电话联系对方或官方渠道确认);同时,坚持安装并及时更新可靠的安全软件,修补系统漏洞,不随意点击不明链接或打开可疑邮件附件,是守护个人财产和信息安全最基本、也最有效的防线。

防范建议

安恒信息产品和服务能够对此类恶意攻击在多环节、全链路进行检测和防御。

产品或服务

检测环节

简介

熟人发来的退税链接?小心银狐盗刷陷阱

安恒恒脑-恶意邮件研判智能体

全链路

安恒恒脑-恶意邮件研判智能体依托恒脑安全垂域大模型能力,可对邮件内容进行语义理解和意图识别,结合二维码识别、附件研判、图片OCR等处理模块,实现了对钓鱼邮件、泄密邮件等多种异常邮件的有效判别,并给出异常点解读,可有效提高异常邮件识别的准确率,降低安全风险。

钓鱼邮件检测示例:

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

明御APT攻击预警平台

流量测

明御APT攻击预警平台是流量威胁检测、恶意文件检测、分析溯源、联动响应于一体的高级威胁预警系统,基于丰富的特征库、全面的检测策略、精准的深度分析模型等规则检测,结合智能机器学习、动态沙箱、语义分析及威胁情报等高级威胁检测技术,能实时发现用户网络中的各种已知威胁和未知威胁,支持包含各类恶意代码攻击、远程控制、WEB攻击、邮件攻击、漏洞利用、隧道通信等在内的多种攻击类型检测。

银狐检测示例:

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

安恒终端安全管理系统(办公智盾)

终端测

办公智盾提出新一代的终端一体化安全防护理念和解决方案,超越传统思维,从单一终端安全,变成人员、终端、网络、应用、数据全方位一体化安全。办公智盾基于模块化设计理念,集多种安全模块于一体,融合了准入、零信任、防病毒、数据防泄漏、数字水印、文件加密、主机审计、桌面管理等十多种业务,全面兼容Windows、Linux、MacOS、UOS、麒麟等主流操作系统,一个平台,一个终端,统一管理。满足用户核心应用景,包括远程接入场景、威胁入侵防护场景、商业秘密保护场景、桌面管控场景。

银狐检测示例:

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

XDR安全大脑(AXDR)

全链路

安恒信息XDR安全大脑,又名:AiLPHA 高级威胁检测与分析系统(AXDR),聚焦终端侧和网络侧主动威胁检测和精准防护,依托强大的AI告警研判与精准事件分析能力,能够深度还原攻击链路,以安全场景为驱动,实现快速的响应处置,真正做到 “场景驱动、开箱即用、精准分析、极简运营”,助力政企数字化安全健康发展。XDR通过关联网络、终端的告警和日志,实现银狐木马攻击链路的可视化,精准溯源恶意进程,达到快速的响应和处置。

安全事件攻击链路分析示例:

熟人发来的退税链接?小心银狐盗刷陷阱
熟人发来的退税链接?小心银狐盗刷陷阱

安恒威胁情报数据

全链路

安恒威胁情报具备超过10亿条入侵检测IP情报的实时监测能力、300万条失陷检测情报的精准识别能力、10亿条文件hash样本的恶意代码检测能力,以及5000万条恶意URL的风险识别能力,具备完整的威胁分析字段和阻断等级判定能力。在漏洞预警方面,拥有35万条漏洞数据的风险发现、分析与预警能力,能够从可利用性、影响程度等维度进行应急响应级别划分。威胁组织画像能力覆盖600多种组织及3000+恶意家族的TTP攻击矩阵分析,具备攻击技术识别和关联分析能力。

银狐情报示例:

熟人发来的退税链接?小心银狐盗刷陷阱

此外用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn/ 对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。

也可在安恒星图平台:https://starmap.dbappsecurity.com.cn/ 进行情报查询和分析。

熟人发来的退税链接?小心银狐盗刷陷阱

IOC

https://duqingmei@eoevuchjymbbj[.]cn/?btg.com.cn

https://riedv[.]cn/vip.jpg

https://molifm[.]cn?20250527326626.zip

https://chzkzhm[.]cn?2025055410423.zip

cce4cb4e41b01e309d22f10ecc29f607

103.12.149[.]123

38.49.40[.]130

原文始发于微信公众号(网络安全研究宅基地):“熟人”发来的退税链接?小心“银狐”盗刷陷阱

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月9日16:58:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   熟人发来的退税链接?小心银狐盗刷陷阱https://cn-sec.com/archives/4149501.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息