“游蛇”黑产团伙利用恶意文档进行钓鱼攻击活动分析

文章预览

点击上方"蓝字" 关注我们吧！ 01 概览 “游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产 团伙 针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。 恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动 ………………………………