当你在网上搜索“谷歌浏览器”时,下图中的地址可能会排在某搜索引擎结果的第一名,但你可能想不到,这是个带病毒的假官网!
点击假官网,将下载一个带有“后门”的安装程序,运行程序后,后门将开始一系列网络攻击,包括:探测并窃取虚拟货币钱包,窃取浏览器信息,监听键盘等,如果你并未持有虚拟货币或者无法被窃币,后门就会释放挖矿木马组件,榨干你的最后一点价值。
微步情报局研究发现,这波攻击自7月底开始,仿冒了谷歌浏览器、搜狗输入法、WPS办公软件等常见软件和各种VPN、上网加速器,以及各个虚拟货币行情交易平台等,累计仿冒网站达20余个,有数据可查的攻击已有数十万次,被攻击行业领域极其广泛,国家有关部门、高校和研究机构、汽车行业、央国企等多个领域均有大量受害单位。该攻击团伙所使用的域名资产中含有大量“heimao-*(三位数字).com”特征域名,微步情报局据此将该团伙命名为“黑猫”。
攻击特点 | 擅于使用各种提高搜索引擎排行的方式; 部署钓鱼网站手法高超,使用中间下载链接来规避追踪和实时替换下载文件; 以敛财盈利为主,主要目标为盗窃虚拟货币; 当发现主机并无窃取价值,会下载挖矿组件进行挖矿盈利。 |
平台 | Windows |
传播方式 | 部署虚假软件下载页面,并提高钓鱼网站在搜索引擎排行诱导下载。 |
攻击地区 | 中国 |
攻击人群 | 下载谷歌浏览器、搜狗输入法、WPS办公软件等办公人群; 数字货币持有者、行业从业人员 |
攻击目的 | 远控、窃密、盗取加密货币、控制肉鸡挖矿 |
“黑猫”的主要攻击手法是通过部署和推广虚假软件下载页面,进行窃密和盗窃虚拟货币、挖矿等攻击行为。“黑猫”投递的样本复杂多样,各种Gh0st魔改远控,银狐木马,窃密软件,XMRig挖矿木马层出不穷,且更新速度很快,投递的loader具备对各大杀软的免杀技术、反虚拟机调试、反沙箱技术,因此攻击成功率极高。
图:“黑猫”攻击路径示意图
ToDesk搜索结果,钓鱼网站位列第二
安装程序被受害者运行后,后门程序会窃取受害者虚拟货币钱包,浏览器信息,监听键盘等。
如果受害者不具备盗币的可能,“黑猫”会释放XMRig挖矿木马组件进行挖矿。
仿冒软件名 | 假网站地址 | 搜索引擎最高排名 |
Chrome浏览器 | http://zh-chrome.com/ https://guge-chrome.com/ https://zh-google.cn/ https://web-chrome.cn https://chromecn.cn https://chromem.cn | 第一,截至发稿仍生效 |
Todesk远控软件 | https://todesk-zh.com/ | 第二,截至发稿仍生效 |
WPS办公软件 | https://cn-wps.com | 第三,截至发稿仍生效 |
搜狗输入法 | https://sogou-shurufa.com | 第三,截至发稿仍生效 |
爱思助手 | https://i4.com.vn/ | 第四,截至发稿仍生效 |
爱加速vpn | https://zh-aijiasu.com/ https://ajsvpn.com/ | 第三,截至发稿仍生效 |
MEXC数字资产一站式交易平台 | https://zh-mexc.com/ | 第七,截至发稿仍生效 |
potato社交软件 | https://zh-potato.com/ https://potato-zh.com/ | 第十一,截至发稿仍生效 |
穿梭VPN | https://cs-vpn.com/ https://zh-csvpn.com/ https://transocks-vpn.com/ | 第四,截至发稿仍生效 |
飞连vpn | https://fl-vpn.com/ | 第一,截至发稿仍生效 |
快帆加速器 | https://www.qobddze.cn/ | 拓线获得,暂无排名 |
okx欧易交易所 | https://oeokx.cn/ https://okx-client.cn/ https://zh-okex.cn/ | 第四,截至发稿仍生效 |
gate交易所 | https://zh-gateio.cn/ | 拓线获得,暂无排名 |
aicoin | https://www.aicoinzh.com/ | 第二,截至发稿仍生效 |
tradingview | https://tradingview-en.com/ http://ayicoin.com https://nbxieheng.cn/ https://zh-tradingview.cn/ | 第一,截至发稿仍生效 |
Telegram(电报) | https://www.telegramef.com/ | 第一,截至发稿仍生效 |
根据本文附录IOC内容进行自查,封禁相关恶意域名;
对已经失陷的机器,及时隔离、清理,杜绝失陷机器外联恶意域名可能带来的监管合规问题; 规范办公软件获取途径,收紧软件安装策略,禁止在办公终端上采用非官方途径进行下载安装; 微步威胁感知平台TDP、威胁情报管理平台TIP、威胁情报云API、云沙箱S、沙箱分析平台OneSandBox、互联网安全接入服务OneDNS、威胁防御系统OneSIG 、终端安全管理平台OneSEC等均已支持对此次攻击事件的检测与防护。
钓鱼域名:
远控C2:
下载URL:
http://zhcn.down-cdn.com/gateio-win64.zip
http://zhcn.down-cdn.com/chromex64.zip
https://zhcn.down-cdn.com/chromex64.zip
http://zhcn.down-cdn.com/mexc_winx64.zip
https://zhcn.down-cdn.com/potato_latestx64.zip
https://zhcn.down-cdn.com/transocks_x64.zip
https://zhcn.down-cdn.com/feilian_latestx64.zip
https://www.heimao-134.com/SWD8yn5IZB
https://softs-downloads.oss-ap-southeast-1.aliyuncs.com/aisi.msi
矿池配置文件地址:
矿池地址:
直播推荐
如有侵权请联系:admin#unsafe.sh