当你在网上搜索“谷歌浏览器”时,下图中的地址可能会排在某搜索引擎结果的第一名,但你可能想不到,这是个带病毒的假官网!
点击假官网,将下载一个带有“后门”的安装程序,运行程序后,后门将开始一系列网络攻击,包括:探测并窃取虚拟货币钱包,窃取浏览器信息,监听键盘等,如果你并未持有虚拟货币或者无法被窃币,后门就会释放挖矿木马组件,榨干你的最后一点价值。
微步情报局研究发现,这波攻击自7月底开始,仿冒了谷歌浏览器、搜狗输入法、WPS办公软件等常见软件和各种VPN、上网加速器,以及各个虚拟货币行情交易平台等,累计仿冒网站达20余个,有数据可查的攻击已有数十万次,被攻击行业领域极其广泛,国家有关部门、高校和研究机构、汽车行业、央国企等多个领域均有大量受害单位。该攻击团伙所使用的域名资产中含有大量“heimao-*(三位数字).com”特征域名,微步情报局据此将该团伙命名为“黑猫”。
攻击特点 |
擅于使用各种提高搜索引擎排行的方式; 部署钓鱼网站手法高超,使用中间下载链接来规避追踪和实时替换下载文件; 以敛财盈利为主,主要目标为盗窃虚拟货币; 当发现主机并无窃取价值,会下载挖矿组件进行挖矿盈利。 |
平台 |
Windows |
传播方式 |
部署虚假软件下载页面,并提高钓鱼网站在搜索引擎排行诱导下载。 |
攻击地区 |
中国 |
攻击人群 |
下载谷歌浏览器、搜狗输入法、WPS办公软件等办公人群; 数字货币持有者、行业从业人员 |
攻击目的 |
远控、窃密、盗取加密货币、控制肉鸡挖矿 |
“黑猫”的主要攻击手法是通过部署和推广虚假软件下载页面,进行窃密和盗窃虚拟货币、挖矿等攻击行为。“黑猫”投递的样本复杂多样,各种Gh0st魔改远控,银狐木马,窃密软件,XMRig挖矿木马层出不穷,且更新速度很快,投递的loader具备对各大杀软的免杀技术、反虚拟机调试、反沙箱技术,因此攻击成功率极高。
图:“黑猫”攻击路径示意图
ToDesk搜索结果,钓鱼网站位列第二
安装程序被受害者运行后,后门程序会窃取受害者虚拟货币钱包,浏览器信息,监听键盘等。
如果受害者不具备盗币的可能,“黑猫”会释放XMRig挖矿木马组件进行挖矿。
“黑猫”仿冒的常见软件下载地址,高达20余个,囊括了常用办公软件、虚拟币行情交易平台、VPN/上网加速器等程序。需要警惕的是,“黑猫”具备极强的SEO(搜索引擎优化)技术,不仅会仿冒网站,还会把仿冒网站的地址顶到搜索结果的首页,甚至能常年保持在排名第一第二的位置,因此受害者极易中招。现将2024年“黑猫”仿冒的部分网站地址列表如下,完整IOC见附录。
仿冒软件名 |
假网站地址 |
搜索引擎最高排名 |
Chrome浏览器 |
http://zh-chrome.com/ https://guge-chrome.com/ https://zh-google.cn/ https://web-chrome.cn https://chromecn.cn https://chromem.cn |
第一,截至发稿仍生效 |
Todesk远控软件 |
https://todesk-zh.com/ |
第二,截至发稿仍生效 |
WPS办公软件 |
https://cn-wps.com |
第三,截至发稿仍生效 |
搜狗输入法 |
https://sogou-shurufa.com |
第三,截至发稿仍生效 |
爱思助手 |
https://i4.com.vn/ |
第四,截至发稿仍生效 |
爱加速vpn |
https://zh-aijiasu.com/ https://ajsvpn.com/ |
第三,截至发稿仍生效 |
MEXC数字资产一站式交易平台 |
https://zh-mexc.com/ |
第七,截至发稿仍生效 |
potato社交软件 |
https://zh-potato.com/ https://potato-zh.com/ |
第十一,截至发稿仍生效 |
穿梭VPN |
https://cs-vpn.com/ https://zh-csvpn.com/ https://transocks-vpn.com/ |
第四,截至发稿仍生效 |
飞连vpn |
https://fl-vpn.com/ |
第一,截至发稿仍生效 |
快帆加速器 |
https://www.qobddze.cn/ |
拓线获得,暂无排名 |
okx欧易交易所 |
https://oeokx.cn/ https://okx-client.cn/ https://zh-okex.cn/ |
第四,截至发稿仍生效 |
gate交易所 |
https://zh-gateio.cn/ |
拓线获得,暂无排名 |
aicoin |
https://www.aicoinzh.com/ |
第二,截至发稿仍生效 |
tradingview |
https://tradingview-en.com/ http://ayicoin.com https://nbxieheng.cn/ https://zh-tradingview.cn/ |
第一,截至发稿仍生效 |
Telegram(电报) |
https://www.telegramef.com/ |
第一,截至发稿仍生效 |
-
根据本文附录IOC内容进行自查,封禁相关恶意域名;
-
对已经失陷的机器,及时隔离、清理,杜绝失陷机器外联恶意域名可能带来的监管合规问题; -
规范办公软件获取途径,收紧软件安装策略,禁止在办公终端上采用非官方途径进行下载安装; -
微步威胁感知平台TDP、威胁情报管理平台TIP、威胁情报云API、云沙箱S、沙箱分析平台OneSandBox、互联网安全接入服务OneDNS、威胁防御系统OneSIG 、终端安全管理平台OneSEC等均已支持对此次攻击事件的检测与防护。
钓鱼域名:
远控C2:
下载URL:
http://zhcn.down-cdn.com/gateio-win64.zip
http://zhcn.down-cdn.com/chromex64.zip
https://zhcn.down-cdn.com/chromex64.zip
http://zhcn.down-cdn.com/mexc_winx64.zip
https://zhcn.down-cdn.com/potato_latestx64.zip
https://zhcn.down-cdn.com/transocks_x64.zip
https://zhcn.down-cdn.com/feilian_latestx64.zip
https://www.heimao-134.com/SWD8yn5IZB
https://softs-downloads.oss-ap-southeast-1.aliyuncs.com/aisi.msi
矿池配置文件地址:
矿池地址:
直播推荐
原文始发于微信公众号(微步在线研究响应中心):曝光新黑产团伙“黑猫”,广撒网窃币、挖矿,中招企业极多!