近日，瑞星威脅情報平臺捕獲到一起“銀狐”木馬最新的攻擊活動，其目標再次對準了國內財務和會計領域的專業人員。此次攻擊采用了一種新的策略，利用NetBox工具的特性，誘使計算機自動執行預先設置的惡意腳本，以此實現入侵目的。這種手段不僅隱蔽性強，而且巧妙地規避了常規的安全防護措施，顯示出其潛在的高風險性。因此，瑞星公司在此提醒所有用戶，特別是財務和會計人員，必須提高警惕，加強安全防護措施。

瑞星安全專家介紹，“銀狐”木馬團伙自2022年開始活躍，其行動策略和攻擊手段不斷演變。該團伙通常利用電子郵件、釣魚網站和即時通訊軟件等多種渠道，廣泛散播木馬病毒，尤其關注企事業單位中財務、會計和銷售等關鍵崗位，企圖通過不良手段非法獲取利益。

攻擊步驟一：

"銀狐"木馬在最新的攻擊中，首先通過釣魚郵件向企業財務或會計人員發送了一個名為“（六月）偷-漏涉-稅-違規企業名單公示”的誘餌表格。表格打開后，會顯示偽造的“國家稅務總局稅務局稽查局”發布的抽查企業公示名單。這種手法專門針對在財務或會計領域工作的人員，目的是利用他們對此類信息的關注度，誘使他們進行下一步的操作。

攻擊步驟二：

抽查企業公示名單中內嵌一個顯眼的“點擊查看”按鈕，這是"銀狐"木馬精心設計的陷阱。其目的是利用表格內容吸引受害者點擊，進而查看所謂的“稅務局企業名單”。一旦點擊該按鈕，受害者將進入釣魚網站，并自動下載一個含有惡意程序的壓縮文件。

攻擊步驟三：

受害者解壓后會出現兩個文件：一個是名為“重點稽查企業名單-終端”的可執行文件（exe），另一個為隱藏惡意代碼的ASP腳本。若受害者點擊了這個偽裝成“企業名單”的exe文件，便會激活ASP腳本。隨即，該腳本將自動執行、下載額外的AutoHotKey腳本和其他必要的組件。"銀狐"木馬會通過這些腳本，在受害者的計算機上部署Gh0st遠程控制木馬，進而實現其竊取敏感信息的最終目的。

全新攻擊手法：

瑞星安全專家揭示，“銀狐”木馬在此次活動中采用了一種新的攻擊手法，巧妙地利用了NetBox工具的特性。NetBox，作為一個廣泛用于網絡管理和調試的網絡工具箱，在啟動時具備加載同目錄下文件的能力。

“銀狐”木馬正是利用了NetBox的這一功能，通過將其重命名為“重點稽查企業名單-終端”，而誘使受害者去點擊，因此自動執行惡意ASP腳本。此外，ASP腳本中還被故意填充了大量空格，這樣做的雙重目的是：一方面降低被安全軟件檢測到的風險，另一方面增加分析人員在分析過程中的難度。

鑒于“銀狐”木馬的持續活躍及其不斷演進的攻擊策略和技術手段，瑞星公司特別提醒政府機構和各類企業的財務部門工作人員，必須保持高度警覺，做好以下防范措施：

1. 不打開可疑文件。

不打開未知來源的可疑的文件和郵件，防止社會工程學和釣魚攻擊。

2. 部署EDR、NDR產品。

利用威脅情報追溯威脅行為軌跡，進行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大范圍內發現被攻擊的節點，以便更快響應和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運行，保護用戶的終端安全。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據。

關鍵詞：