首页
社区
课程
招聘
[分享]黑产团伙借搜索引擎发起大规模网络攻击,搜索引擎还能信吗?
发表于: 2024-10-23 10:51 1674

[分享]黑产团伙借搜索引擎发起大规模网络攻击,搜索引擎还能信吗?

2024-10-23 10:51
1674

当你在网上搜索“谷歌浏览器”时,下图中的地址可能会排在某搜索引擎结果的第一名,但你可能想不到,这是个带病毒的假官网!

点击假官网,将下载一个带有“后门”的安装程序,运行程序后,后门将开始一系列网络攻击,包括:探测并窃取虚拟货币钱包,窃取浏览器信息,监听键盘等,如果你并未持有虚拟货币或者无法被窃币,后门就会释放挖矿木马组件,榨干你的最后一点价值。

 

微步情报局研究发现,这波攻击自7月底开始,累计仿冒网站达20余个,有数据可查的攻击已有数十万次,被攻击行业领域极其广泛,国家有关部门、高校和研究机构、汽车行业、央国企等多个领域均有大量受害单位。该攻击团伙所使用的域名资产中含有大量“heimao-*(三位数字).com”特征域名,微步情报局据此将该团伙命名为“黑猫”。


(一)“黑猫”团伙画像

 

“黑猫”最早于2022年开始活跃,通过仿冒钓鱼网站投递各类恶意样本,包括“银狐”远控木马、变种Gh0st木马、窃密木马、XMRig挖矿木马等,受害目标为安全意识不足的机构/企业职员,通过远控主机来盗取受害者的虚拟货币并挖矿。“黑猫”的某C2地址和今年上半年APT组织“金眼狗”所使用的远控后门内置的C2地址相同,这表明“黑猫”疑似和“金眼狗”具有一定关联。

攻击特点

擅于使用各种提高搜索引擎排行的方式

部署钓鱼网站手法高超,使用中间下载链接来规避追踪和实时替换下载文件

以敛财盈利为主,主要目标为盗窃虚拟货币

当发现主机并无窃取价值,会下载挖矿组件进行挖矿盈利

平台

Windows

传播方式

部署虚假软件下载页面,并提高钓鱼网站在搜索引擎排行诱导下载

攻击地区

中国

攻击人群

下载谷歌浏览器,搜狗输入法,WPS办公软件等办公人群

数字货币持有者、行业从业人员

攻击目的

远控,窃密,盗取加密货币,控制肉鸡挖矿

(二)“黑猫”常用的攻击手法

 

“黑猫”的主要攻击手法是通过部署和推广虚假软件下载页面,进行窃密和盗窃虚拟货币、挖矿等攻击行为。“黑猫”投递的样本复杂多样,各种Gh0st魔改远控,银狐木马,窃密软件,XMRig挖矿木马层出不穷,且更新速度很快,投递的loader具备对各大杀软的免杀技术、反虚拟机调试、反沙箱技术,因此攻击成功率极高。

“黑猫”大范围仿冒常见软件的下载网站,并通过SEO(搜索引擎优化)、SEM(搜索引擎竞价排名)等各种手段提高在搜索引擎关键字排行,诱导受害者访问钓鱼页面,并点击下载带有后门的安装程序。

安装程序被受害者运行后,后门程序会窃取受害者虚拟货币钱包,浏览器信息,监听键盘等。如果受害者不具备盗币的可能,“黑猫”会释放XMRig挖矿木马组件进行挖矿。

 

(三)“黑猫”仿冒的常见软件及下载地址

 

“黑猫”仿冒的常见软件下载地址,高达20余个,囊括了常用办公软件、虚拟币行情交易平台、VPN/上网加速器等程序。需要警惕的是,“黑猫”具备极强的SEO(搜索引擎优化)技术,不仅会仿冒网站,还会把仿冒网站的地址顶到搜索结果的首页,甚至能常年保持在排名第一第二的位置,因此受害者极易中招。现将2024年“黑猫”仿冒的部分网站地址列表如下。


仿冒软件名

假网站地址

搜索引擎最高排名

Chrome浏览器

9b4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4A6Z5i4K6u0V1j5$3S2J5L8$3#2W2i4K6u0W2j5$3!0E0i4K6u0r3

c3bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4N6h3N6W2i4K6u0V1j5$3S2J5L8$3#2W2i4K6u0W2j5$3!0E0i4K6u0r3

84aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6r3N6G2L8$3N6D9k6g2)9J5k6h3y4F1i4K6u0r3

028K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4k6h3u0Q4x3X3c8U0K9s2u0G2L8h3g2Q4x3X3g2U0L8R3`.`.

df4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0K9s2u0G2L8h3g2U0L8W2)9J5k6h3y4F1

119K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0K9s2u0G2L8h3g2E0i4K6u0W2j5$3^5`.

第一,截至发稿仍生效

Todesk远控软件

b9cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1L8$3c8W2M7$3E0Q4x3X3c8*7K9q4)9J5k6h3y4G2L8g2)9J5c8R3`.`.

第二,截至发稿仍生效

WPS办公软件

40fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0L8W2)9J5k6s2N6H3M7#2)9J5k6h3y4G2L8b7`.`.

第三,截至发稿仍生效

搜狗输入法

b25K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6L8$3N6G2N6g2)9J5k6s2y4Z5N6i4u0#2k6X3q4Q4x3X3g2U0L8$3@1`.

第三,截至发稿仍生效

爱思助手

ee1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6A6y4q4)9J5k6h3y4G2L8g2)9J5k6i4k6F1i4K6u0r3

第四,截至发稿仍生效

爱加速vpn

15dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6r3q4A6K9X3W2S2M7%4g2Q4x3X3g2U0L8$3#2Q4x3V1j5`.

76cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2K9Y4y4$3M7r3&6Q4x3X3g2U0L8$3#2Q4x3V1j5`.

第三,截至发稿仍生效

MEXC数字资产一站式交易平台

094K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6r3#2W2P5r3y4Q4x3X3g2U0L8$3#2Q4x3V1j5`.

第七,截至发稿仍生效

potato社交软件

6f3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6s2m8G2N6r3q4@1L8#2)9J5k6h3y4G2L8g2)9J5c8R3`.`.

9c4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8%4c8S2N6r3!0Q4x3X3c8*7K9q4)9J5k6h3y4G2L8g2)9J5c8R3`.`.

第十一,截至发稿仍生效

穿梭VPN

3ebK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0M7#2)9J5k6s2k6H3L8W2)9J5k6h3y4G2L8g2)9J5c8R3`.`.

77eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6r3y4K6N6Y4m8F1i4K6u0W2j5$3!0E0i4K6u0r3

90bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1M7X3q4F1M7$3!0U0K9%4y4Q4x3X3c8$3M7r3&6Q4x3X3g2U0L8$3#2Q4x3V1j5`.

第四,截至发稿仍生效

飞连vpn

d9dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6X3L8q4)9J5k6s2k6H3L8W2)9J5k6h3y4G2L8g2)9J5c8R3`.`.

第一,截至发稿仍生效

快帆加速器

0efK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2I4L8$3u0V1k6s2A6W2i4K6u0W2j5$3&6Q4x3V1j5`.

拓线获得,暂无排名

okx欧易交易所

2d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2k6h3!0C8P5q4)9J5k6h3y4F1i4K6u0r3

8aaK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6G2K9%4S2Q4x3X3c8U0L8r3W2W2L8Y4c8Q4x3X3g2U0L8W2)9J5c8R3`.`.

402K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6r3!0C8k6i4S2Q4x3X3g2U0L8W2)9J5c8R3`.`.

第四,截至发稿仍生效

gate交易所

d4cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6r3N6S2N6r3g2A6L8#2)9J5k6h3y4F1i4K6u0r3

拓线获得,暂无排名

aicoin

0edK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2S2K9h3y4G2K9h3&6*7K9q4)9J5k6h3y4G2L8g2)9J5c8R3`.`.

第二,截至发稿仍生效

tradingview

6edK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1M7X3q4V1K9h3&6Y4N6X3W2W2N6#2)9J5k6r3g2F1i4K6u0W2j5$3!0E0i4K6u0r3

b46K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4&6K9h3y4G2K9h3&6Q4x3X3g2U0L8$3@1`.

259K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6F1j5Y4S2A6k6h3S2W2L8X3N6Q4x3X3g2U0L8W2)9J5c8R3`.`.

75bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7K9q4)9J5k6s2c8J5j5h3c8A6L8X3N6$3K9h3g2%4i4K6u0W2j5$3&6Q4x3V1j5`.

第一,截至发稿仍生效

Telegram(电报)

28dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2@1k6h3I4W2k6%4u0S2L8h3g2X3i4K6u0W2j5$3!0E0i4K6u0r3

第一,截至发稿仍生效

(四)处置建议

 

1. 根据本文附录IOC内容进行自查,封禁相关恶意域名;

2. 对已经失陷的机器,及时隔离、清理,杜绝失陷机器外联恶意域名可能带来的监管合规问题;

3. 规范办公软件获取途径,收紧软件安装策略,禁止在办公终端上采用非官方途径进行下载安装


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回