钓鱼下载网站传播“游蛇”威胁，恶意安装程序暗藏远控木马

主要观点总结

本文介绍了“游蛇”黑产团伙的攻击活动，包括其传播恶意文件、免杀手段更换频繁且攻击目标涉及行业广泛等特点。文章提供了技术梳理、样本分析、防护建议以及相关的IoCs信息。

关键观点总结

关键观点1: 攻击活动概述

“游蛇”黑产团伙自2022年下半年开始活跃，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定损失。传播方式主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等途径。

关键观点2: 传播阶段

攻击者利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意程序，恶意程序会下载执行用于窃取加密货币钱包地址及密钥信息的组件。

关键观点3: 攻击流程

攻击者利用钓鱼网站传播恶意MSI安装程序，该安装程序会在用户选择的安装路径中释放一个正常的安装程序和一个恶意程序，并执行恶意程序。恶意程序从指定URL处获取shellcode并在内存中执行，然后通过异或解密算法自解密，执行嵌入的DLL文件。DLL文件持续监控剪贴板内容并窃取符合指定条件的内容及截图。

关键观点4: 样本分析

对恶意MSI程序、aaa安装9.exe、1.dll、RpcTsch.dll和Dll1.dll等关键样本进行了详细分析，揭示了它们的执行流程、功能及相互之间的关系。

关键观点5: 防护建议

提出了针对此威胁的防护建议，包括增强业务人员的安全意识、部署专业的终端安全防护产品、使用安全威胁排查工具进行排查等。

文章预览

点击上方"蓝字" 关注我们吧！ 01 概览 “游蛇”黑产团伙（又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等）自2022年下半年开始活跃至今，针对国内用户发起了大量攻击活动，以图窃密和诈骗，对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件（微信、企业微信等）、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。近期， 安天CERT 监测到“游蛇”黑产团伙利用仿冒成远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序。 当恶意MSI安装程序执行后，会在用户选择的安装路径中释放一个正常的安装程序以及一个恶意程序，在桌面中创建指向正常安装程序的快捷方式，并执行恶意程序。恶意程序执行后，从指定URL处获取shellcode并在内存中执行。该shellcode通 ………………………………