小心了,如果你在搜索引擎上寻找常用软件下载链接时,却跳转到了一个中转下载页面,开始下载一些放在Google文件存储服务上的安装包文件,那么就要小心,你可能在下载最新的“银狐”木马。
近期,微步在线成功捕获“银狐”木马最新变种。与此前仅采取被动规避检测的模式不同,当前攻击者的技术手段已实现全面升级,通过各种手段,获取存在漏洞的第三方驱动程序并加以利用,从而实施攻击。
为了从计算机内核层面让杀毒软件、EDR等终端安全工具失效,攻击者多使用具备知名企业的版权或过期数字签名的驱动程序,目前被恶意利用的驱动程序来自很多知名企业。
由于具备合法签名,在检测流程启动前,“银狐”木马便能对终端安全软件的功能进行全面限制,乃至直接关停。因此,该最新变种的后门程序清除难度显著提升,导致应对处置工作更为困难。微步在线研判认为,直接在计算机内核层面使EDR及杀毒软件“失效”的技术手段,已成为“银狐”木马的新型攻击策略。
截至目前,微步在线已发现与该变种样本相关的1000余个钓鱼网站和1400余个恶意域名,仿冒对象涵盖爱思助手、易翻译、美图秀秀、酷狗音乐、网易云音乐、有道翻译、小鸟壁纸、WPS等数十款常见软件,变种类型持续增加,是近期规模最大的网络黑产活动之一。
防范措施建议
结合本次发现的系列木马病毒传播活动的相关特点,建议广大用户采取以下防范措施:
1.不要轻信搜索引擎中常用软件的搜索结果,当无法判断软件下载地址的真假时,应认准搜索引擎给出的“官方”认证标签。一旦出现误点、误下载等操作,用户应对自己常用的计算机和移动通信设备进行杀毒和安全检查。
2.在备份重要数据的前提下,用户需保持终端安全软件实时监控功能开启,将电脑操作系统和防病毒软件更新到最新版本。目前微步OneSEC、沙箱等产品已经支持对此次“银狐”变种的检测。
3.一旦用户遭遇以下异常状况,应立即主动切断计算机设备网络连接,对重要数据进行迁移和备份,并对相关设备进行停用直至通过系统重装或还原、完全的安全检测和安全加固后方可继续使用。
(1)操作系统的安全功能和防病毒软件在非自主操作情况下被异常关闭;
(2)在排除硬件故障且用户没有主动运行大型应用程序的情况下,电脑的性能突然严重下降且系统资源占用率长时间居高不下;
