关键词

黑产

一、活动概述

  • 发布单位

    国家互联网应急中心(CNCERT)与安天科技。

  • 黑产团伙

    又称“银狐”、“谷堕大盗”、“UTG-Q-1000”,主要攻击目标为Chrome浏览器用户。

  • 主要行为

    伪造Chrome浏览器下载站,诱导用户下载恶意软件,从而植入远控木马,窃取敏感数据。

  • 感染规模

    每日境内肉鸡数最高超过1.7万,累计约12.7万台设备感染。

二、攻击手法

  • 伪造网站

    • 攻击者通过SEO推广伪造的Chrome浏览器下载站,站点与正版高仿,难以识别。
      -示例网站包括图1和图2,及其它多个钓鱼网站。

      钓鱼网站示例1

      钓鱼网站示例2

  • 恶意下载包

    • 用户下载的安装包名为“chromex64.zip”,包含潜在的恶意程序。

    • 解压后文件名采用日期格式编码,伪装正常程序。

  • 安装后行为

    • 安装程序释放旧版本Chrome浏览器文件,导致无法正常更新。

    • 在桌面创建快捷方式,在后台运行恶意文件,启动浏览器掩饰恶意行为。

三、感染数据

  • 每日上线肉鸡数

    • 2025年4月23日至5月12日期间,每日上线肉鸡数最高达1.7万余台。

    • C2日访问量最高达到4.4万条。

  • 累计感染

    • 累计约12.7万台设备受感染,数据仍在增加。

四、攻击流程说明️️
  1. 钓鱼网站诱导

    :用户通过搜索引擎 clicking 钓鱼链接,进入假冒Chrome下载站。

  2. 下载恶意包

    :用户下载“chromex64.zip”,解压并运行后释放恶意文件。

  3. 远控木马植入

    :恶意程序连接到C2地址(如duooi.com:2869),允许多远程控制设备。

  4. 数据窃取

    :攻击者通过远控木马窃取用户敏感信息,进行诈骗等活动。

五、防范建议

  • 下载软件

    • 正版来源

      必须从官方网站或可信来源下载软件。

    • 安全检查

      下载后用杀毒软件扫描并校验文件HASH,确保文件安全。

  • 谨慎点击

    • 不要随意点击来历不明的链接,不 要安装未知来源的软件。

  • 密码管理

    • 强化密码

      设置16位以上的复杂密码,包含大小写、数字和符号。

    • 定期更换

      避免使用相同密码,定期更新密码,防止被破解。

  • 资产管理

    • 梳理现有设备和系统,及时修复已知的安全漏洞,减少攻击面。

  • 安全软件

    • 安装可靠的终端防护软件,定期运行全盘扫描,及时消除威胁。

  • 感染处理

    • 如果发现设备被感染,立即确认受控情况和入侵途径,及时清理木马程序。

六、相关技术信息IOC

  • 样本MD5

    • A1EAD0908ED763AB133677010F3B9BD7

    • ED74A6765F2FFEE35565395142D8B8B4

    • 10FAC344D2F74D47FF79FE4A6D19765E

  • 恶意IP

    • 104.233.164.131

    • 61.110.5.21

    • 137.220.131.139

    • 137.220.131.140

  • 恶意域名

    • hiluxo.com

    • titamic.com

    • simmem.com

    • golomee.com

    • duooi.com

    • sadliu.com

  • 恶意URL

    • http://google-chrom.cn

    • https://google-chrom.cn

    • https://chrome-html.com

    • https://am-666.com

    • https://chrome-admin.com

    • https://zhcn.down-cdn.com/chromex64.zip

    • https://cdn.downoss.com/chromex64.zip

    • https://oss.downncdn.com/chromex64.zip

    • https://cdn-kkdown.com/chromex64.zip

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!