近期,国家计算机病毒应急处理中心发布预警报告:依托国家计算机病毒协同分析平台,捕获了多个文件名包含“内部调查结果”“违纪名单”“违纪通报信息”“裁员补偿”等词汇的恶意程序。这些文件表面上伪装成文件夹、快捷方式或PDF文档,实则均为针对Windows平台的远程控制木马病毒,且是“银狐”家族的最新变种。一旦用户不慎运行,攻击者便可远程控制电脑、窃取信息,甚至利用被控设备实施电信诈骗。
作为长期活跃于网络攻击领域的高级持续性威胁(APT)木马家族,银狐病毒最早可追溯至2020年中后期。该木马以高隐蔽性、多阶段加载能力和强对抗杀毒软件的能力著称,在全球范围内对金融、医疗、政府等关键基础设施构成严重威胁。
如今,银狐已发展为一个庞大的黑灰产工具矩阵,由20多个制作和免杀团伙共同运营,日均查杀量超5万次,高峰周传播量破90万次。从人工投毒到AI驱动的自动化攻击,其背后的较量早已不是简单的病毒查杀,而是对企业和个人安全防护能力的全面考验。
银狐专攻人心,瞄准职场人群下手
银狐很少需要利用系统漏洞才能入侵。它用的方法更直接:让你自己点开它。
当财务人员收到“金税四期安装包”,人事专员收到“违纪名单”压缩包,设计师看到“Adobe官方更新”的弹窗。这些文件名字和场景高度贴合受害者的日常工作,让人很容易放松警惕。本次预警中点名的“XX季度违纪名单”“通报人员信息”“裁员名单”“补偿方案”“财务报表”等文件名,就是典型例子。银狐病毒变种多样,但始终追踪你的关注点:你在哪里、日常关心什么,它就伪装成什么。
当受害者打开钓鱼邮件,点击伪装成正常文档的木马文件后,文件一旦执行,恶意代码就会注入至 Windows 合法系统进程或服务进程(如svchost.exe、ctfmon.exe)中,实现隐蔽运行、权限维持和持续驻留。随后,木马会与 C2 服务器建立通信连接,执行远程控制、数据窃取及后续攻击操作。
预警报告指出,本次攻击的目标主要是具有一定规模的组织机构工作人员,尤其是从事人事相关业务的同事。攻击者的根本目的是窃取企业敏感数据和公民个人信息,进而实施勒索或诈骗。一旦中招,财务系统的网银密码、微信聊天记录、数字货币(885866)钱包私钥都会被批量窃取。有的企业因此被骗走数百万元甚至上千万元。
安全防护建议:技术和意识两手都要硬
技术层面:建议部署具备行为分析能力的EDR(端点检测与响应)或XDR(扩展检测与响应),重点监控系统进程的异常注入行为(如svchost.exe、ctfmon.exe)和可疑的网络外联。在网络边界部署下一代防火墙,对钓鱼邮件和仿冒站点进行深度检测,实时阻断恶意URL。可疑文件在打开前,可先上传至国家计算机病毒协同分析平台(https://virus.cverc.org.cn)进行动态验证。
意识层面:对于带有“违纪”“裁员”“补偿”“名单”等关键词的、通过群聊或邮件临时发送的文件,务必多留个心眼。收到的压缩包或EXE文件,最好先与发送方二次确认再打开。保持杀毒软件实时监控,及时更新操作系统补丁。
应急响应方面:一旦发现电脑行为异常、文件被加密或账户出现异常登录,立即断网,备份重要数据,全盘查杀病毒,并更换高强度口令。如果发现自己的即时通讯工具或邮箱被盗用,要第一时间告知同事和亲友,防止诈骗进一步扩散。
真正的安全不是事后补救,而是看得见、管得住。面对银狐这类不断进化的威胁,安博通(688168)安全网关系列产品构建了“终端检测+网络拦截+外联管控”分层防御体系。
入网源头管控:通过XDR插件对入网终端进行合规体检,压缩木马可利用的初始入口,同时校验关键进程、核心文件及注册表合规性,及时发现异常驻留与篡改风险。
强化网络层查杀病毒能力:持续更新病毒特征库,结合深度包检测(DPI)技术,在网络入口精准识别恶意链接、伪装文件和钓鱼载体中的主流木马变种,从源头拦截病毒下载与落地入侵。
外联安全防护:终端非法外联检测能力可提前识别疑似木马外联行为,做到早发现、早预警、早处置。此外,产品采用可信服务器白名单管控机制,通过主动学习梳理企业日常业务的合法外联连接,仅放行合规的网络访问,堵死银狐窃密回传的后路。
安全不是一道墙,而是一张看得见、管得住的网。安博通(688168)致力于让安全更智能、让防御更主动,帮助企业和组织在威胁到来之前,就做好充分的准备。
