主要观点总结
本报告由国家互联网应急中心(CNCERT)与安天科技集团股份有限公司共同发布,关于“游蛇”黑产团伙的攻击活动。该团伙通过搜索引擎SEO推广手段,伪造Chrome浏览器下载站,诱导用户下载恶意安装包,植入远控木马,实现远程操控和敏感数据窃取。其传播恶意文件变种多,攻击目标涉及广泛。
关键观点总结
关键观点1: “游蛇”黑产团伙活动频繁,采用搜索引擎SEO推广手段,伪造Chrome浏览器下载站,迷惑用户下载恶意安装包。
用户一旦误信并下载恶意安装包,游蛇远控木马便会植入系统,实现远程操控和敏感数据窃取。该团伙主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件。
关键观点2: “游蛇”黑产团伙每日上线境内肉鸡数最多已超过1.7万,攻击活动自2022年下半年开始至今,涉及国内大量用户。
该团伙传播的恶意文件变种多、免杀手段更换频繁,攻击目标涉及行业广泛,其C2日访问量最高达到4.4万条,累计已有约12.7万台设备受其感染。
关键观点3: 防范建议包括通过官方网站下载正版软件,不打开来历不明的网页链接,加强口令强度,及时修复系统漏洞,安装终端防护软件等。
当发现主机感染僵尸木马程序后,应立即核实主机受控情况和入侵途径,并对受害主机进行清理。
文章预览
点击上方"蓝字" 关注我们吧! 本报告由国家互联网应急中心(CNCERT)与安天科技集团股份有限公司共同发布。 0 1 概述 近期,CNCERT和安天联合监测到“游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)组织活动频繁,攻击者采用搜索引擎SEO推广手段,伪造Chrome浏览器下载站。伪造站与正版官网高度相似,极具迷惑性。用户一旦误信并下载恶意安装包,游蛇远控木马便会植入系统。实现对目标设备的远程操控,盗取敏感数据等操作。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.7万。 “游蛇”自2022年下半年开始频繁活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变
………………………………
