随着互联网的普及,网络威胁日益复杂多变。特别是针对讲中文用户群体的恶意软件攻击不断增加,攻击者通过精心设计的钓鱼网站和巧妙利用技术漏洞,实现了在用户不知情的情况下安装远程访问木马。近期,安全研究机构发现了一系列以HiddenGh0st、Winos和kkRAT为代表,利用搜索引擎优化(SEO)和GitHub Pages进行传播的高级恶意软件攻击活动,充分暴露了现代网络安全环境中的新型威胁。SEO中毒及仿冒站点策略成为攻击核心。攻击者在搜索引擎中利用SEO插件操控排名,并注册与合法软件站点几乎相同的域名,通过微小字符替换误导用户访问伪装页面。这种方式让攻击者能够轻易诱骗用户下载附带恶意载荷的安装程序,涉及的软件如DeepL翻译、Google Chrome、Signal、Telegram、WhatsApp和WPS Office等热门应用,从而提高恶意软件的传播效率。
由Fortinet FortiGuard实验室揭示的这场攻击链始于用户点击搜索结果,随后一个名为nice.js的脚本依次发出多重请求,最终指向恶意安装包的下载链接。该安装包内含有带有反分析与防检测能力的恶意动态链接库文件(DLL),如EnumW.dll和vstdlib.dll。恶意代码通过持续消耗系统内存,干扰分析工具,并检测目标系统是否安装了360 Total Security等知名杀软。一旦确认杀软存在,利用TypeLib COM劫持技术确保恶意载荷可以持续驻留系统,否则则通过创建系统快捷方式实现持久化。最终,该木马侧载了名为AIDE.dll的核心插件,展开多重关键功能,涵盖C2服务器通信、系统监控以及用户活动跟踪。通过加密通信模块,攻击者可下发额外插件,实现键盘记录、剪贴板数据捕获,甚至窃取以太坊和泰达币等加密货币钱包资金。
这种隐蔽且灵活的攻击模式表明,传统防护措施需要进一步升级以应对复杂威胁。Winos家族与银狐集团的关联值得关注。Winos,又名ValleyRAT,继承了经典Gh0st RAT的远程访问能力,并因其与多个网络犯罪组织的联系而备受关注。特别是银狐组织(Silver Fox),拥有别名SwimSnake、Valley Thief、UTG-Q-1000和Void Arachne,自2022年以来频繁活跃,以该木马为核心工具。其攻击目标多为讲中文的企业及个人用户,借助相似的技术框架扩大感染面。GitHub Pages被滥用成为恶意软件传播新载体。
令人担忧的是,另一家安全机构Zscaler ThreatLabz揭秘了同样针对中文用户的恶意活动,该活动使用了新型未公开恶意软件kkRAT以及Winos和FatalRAT。黑客们通过Github Pages这一受信任的静态网页托管服务展开攻击,搭建钓鱼虚假安装页面,欺骗受害者下载安装木马。GitHub的信誉被滥用,为攻击增加可信度。勒索过程当中,安装程序会对沙箱环境、虚拟机以及杀软进行检测,申请管理员权限以便禁用网络适配器,削弱杀软运行效率。同时,攻击者采用BYOVD(Bring Your Own Vulnerable Driver)技术,复用开源项目RealBlindingEDR内核代码,专门针对包括360互联网安全、360全家桶、侠客系统诊断、金山互联网安全和QQ电脑管家在内的主流杀软进程,确保防护被破坏。持久化手法层出不穷,除了创建计划任务自动杀死杀软进程,还篡改注册表,阻断网络检测。
_INSTALLER_通过加载混淆代码及多阶段下载流程,从硬编码服务器获取包含合法程序和恶意DLL的压缩文件,并实现DLL侧载技术,进一步掩盖恶意行为。kkRAT作为三大木马之一,具备多项高级功能,包括屏幕捕获、用户输入模拟、剪贴板篡改和远程桌面支持等。其网络通信协议继承了Gh0st RAT特色,增加了数据压缩及加密层,提升传输安全性。其恶意命令能够安装远控软件Sunlogin和GotoHTTP,实现远程管理监控。kkRAT特别针对加密货币钱包地址进行替换,常见的目标链包括Ethereum和Tether。此外,它能够清理多款浏览器的浏览数据,增强其隐蔽性。
对用户来说,准确识别仿冒网站和恶意软件安装包十分关键。即使是搜索引擎首页的排名结果,也存在被武装的风险,轻信下载可能导致系统感染严重损害。用户应提高警惕,不轻易访问不明确来源软件,安装多层防护软件,并定期更新系统和杀软,减少攻击面暴露。对于防御者与安全软件开发者而言,识别并阻断通过GitHub Pages类可信平台传播恶意软件的企图,成为重要研究方向。同时针对BYOVD技术,需开展深度检测与驱动安全策略,加强对系统底层的监控。业界还需推动安全社区共享情报,如恶意域名、钓鱼页面和木马载荷信息,加快响应和修复。
目前,随着远程办公和在线工具的广泛应用,恶意软件更有可能通过热门软件伪装形式渗透企业和个人设备,金钱和隐私安全面临严峻挑战。开展网络安全培训,普及钓鱼识别和安全下载常识,成为基础防护的必要环节。总之,HiddenGh0st、Winos和kkRAT等木马通过结合SEO技术与GitHub Pages的攻击策略,标志着中文网络用户面临的安全威胁进入新阶段。多方协作,加强防护,主动防御,依然是对抗这些高级持续性威胁(APT)的重要保障。只有通过技术提升、用户意识和政策法规共同推动,才能构建更为安全、可信的数字环境。 。
