收到此类文件立刻删除!避免落入“游蛇”圈套
时间:2025年10月23日
1.概述
“游蛇”黑产团伙,其他安全企业又称“银狐”、“谷堕大盗”等,主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动,包括伪装成常用软件下载站、进行搜索引擎SEO投毒以及大量发送钓鱼邮件等方式实施投放。在载荷执行阶段,其常使用“白加黑”方式执行,并通过即时通讯软件(微信、企业微信等)进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗,同时也对受感染主机形成窃密能力,可能进行数据贩卖等其他活动。其传播的恶意文件具有变种数量庞大、免杀技术迭代迅速等特点,攻击目标涉及大量个人用户与多个行业领域,构成广泛而严重的威胁。
“游蛇”团伙很可能在以欺诈即服务(FaaS,Fraud as a Service)的网络犯罪模式运营,以商品化并按需出售或租赁的形式,向其他犯罪分子提供攻击方法、工具、基础设施,从而大幅降低实施网络欺诈的门槛。
游蛇远控木马目前非常泛滥,安天CERT持续关注,为帮助用户及时识别与防范“游蛇”远控木马,本篇报告聚焦感染后的典型现象以及如何识别与防范。
安天智甲具备下载增强防护,支持通过对浏览器、即时通讯软件、电子邮件客户端入口实现管控,发现接收、下载行为,让恶意代码无法轻易落地至本地磁盘或者启动,让绝大部分恶意文件被拦截在加载执行之前。
下载增强防护详细介绍:《智甲EDR“下载增强防护”,让游蛇(银狐)跑不起来》
2.感染“游蛇”后的主要现象、识别与危害
“游蛇”攻击组织主要通过搜索引擎SEO投毒、即时通讯软件发送文件等方式传播恶意软件,因此用户在日常工作生活中易遭受“游蛇”威胁的场景主要有两种:
• 第一种场景,受害者通过搜索引擎,搜索到伪装成常用软件的钓鱼网站,并从中下载了恶意软件,安装执行后导致感染。
• 第二种场景则是已有受害者感染“游蛇”木马,“游蛇”组织获取到系统控制权限后,在空闲时间段控制受害者主机,一旦发现有聊天软件处于在线状态,便会利用聊天软件的拉群功能进行拉群,拉群后在群内传播虚假的敏感话题进行投放木马。
2.1 感染后危害
感染木马后攻击者通常会实施进一步传播和诈骗,一种是利用受害者通讯软件群传播“游蛇”木马控制更多的主机,另一种则是传播二维码或钓鱼链接进行钓鱼。群内人员点击了第一种情况的话,自身则成为“游蛇”的传播者,点击了钓鱼链接的话,则有可能会被诈骗导致财产损失。
此外,攻击者也可能采用更加直接的诈骗方式:通过远控木马控制受害者微信,伪装成受害者身份向其好友进行诈骗;或者控制受害者微信删除其某一好友,再添加一个与该好友微信相同头像的攻击者微信号,从而伪装其好友,对受害者实施诈骗。
2.1.1 传播“游蛇”木马控制更多的主机
通过微信聊天记录可以发现受害者传播“2025_年第三季度违记内职人员信息”的文件,该文件实际为“游蛇”远控木马相关样本,执行后攻击者能够利用远控木马对受害者电脑进行远程控制。
图2-1 发送“游蛇”木马相关样本
• 常见钓鱼套路与文件名称
常见的一些钓鱼套路如下表所示。
|
钓鱼套路 |
示例 |
|
攻击者伪造一个文件主题(如人员名单、企业名单等),并发送一个与该主题相关名称的文件(如压缩包或可执行程序等)。 |
|
|
攻击者也可能不发送文字,而直接发送恶意文件。 |
|
常见的一些恶意文件名称类型和示例如下表所示。
|
文件名类型 |
示例 |
|
名称格式:【日期】_*人员名单【可能含有一长串字符】 |
▸ 2025-年 第 二 季
度 违 规
内 职 人
员 名 单
信 息(11).txt.exe ▸ dj 2025-年
第 二 季
度 违 规
内 职 人
员 名 单
信 息adjia…(6).exe ▸ hd关 于(202509)违 规 违
纪 人 员
名 单 信
息dsabr…
(14).exe ▸ ds 2025-年
第 三 季
度 违 规
内 职 人
员 名 单
信 息nirotetmeoNFIWETQ (2).exe ▸ 2025.09.10_ 人
员 名 单nmcxnbnmcbskkdwjhejn511 (400).exe |
|
与查看、查阅等关键字相关 |
▸ 明细查看.zip ▸ 查询明细.exe ▸ 解压文件后查阅.zip ▸ 请压缩文件后查阅.zip ▸
解压后查看.zip |
|
伪装成政府或企业的政策文件或通知文件 |
▸ 财会人员薪资补贴调整.rar ▸ 7月纳税人税调整.exe ▸ 国家税务同企业补贴政策通知.zip ▸ 公司人员结构调整.rar ▸ 关于2025员工工资调整详情.exe |
2.1.2 传播二维码或钓鱼链接进行钓鱼实施诈骗
攻击者控制受害者微信,大范围拉群或在该用户已在群组中,发送一个PDF钓鱼文件,并附上相关说明和钓鱼链接。
图2-2 利用钓鱼链接进行钓鱼
• 常见钓鱼套路
|
钓鱼套路 |
示例 |
|
攻击者发送一个PDF文档文件,并附上说明和钓鱼网站链接,诱导用户访问钓鱼网站。 |
|
|
攻击者发送一个图片,其中含有说明及支付宝二维码,要求用户通过支付宝进行扫码并访问其钓鱼网站。 |
|
|
攻击者发送一个微信二维码,要求用户使用微信扫码并访问钓鱼网站。 |
|
• 典型仿冒国家“补贴”类钓鱼网站分析
安天CERT经过分析发现“游蛇”组织会在所有的页面初步验证受害者输入的身份信息是否有格式错误,每个页面都会诱导受害者填入自己的身份信息,如姓名、身份证号、银行卡号、银行卡余额、银行卡密码和手机号等信息。待受害者所有信息输入完成后,如信息填写正确,“游蛇”组织会直接对受害者的银行卡进行提现或转账,进而发生诈骗事件。
打开钓鱼文件后,发现里面存在钓鱼链接,该链接与说明中的链接一致,故被钓鱼的用户点击说明中的链接或打开钓鱼文件后点击“登录官方办理”按钮都会跳转到同一钓鱼网站。
图2-3 钓鱼文件中报告钓鱼网站链接
该钓鱼网站只能使用手机客户端进行打开,PC客户端浏览器默认不支持打开。钓鱼网站中的主页伪造成“中华人民共和国人力资源和社会保障部”发布的“《2025年个人财政补贴》声明”。点击“立即申报”后跳转到输入真实姓名和身份证号阶段,旨在诱使受害者输入真实的姓名和身份证号。
图2-4 钓鱼网站主页及仿冒的申报页面
输入银行卡信息后跳到核实本人操作页面,点击下一步后跳到验证身份页面,诱使受害者输入真实银行卡的账户余额。
图2-5 核实本人操作,诱导用户输入银行账户余额
之后要求用户验证银行密码,以此诱骗用户输入真实的银行卡密码。受害者提交后会显示已提交的一个页面,以此诱骗用户信以为真。
图2-6 验证银行卡密码
如果用户提交的信息不准确,最后会告知提交的不通过、身份证号不对等信息,并要求用户返回重新输入。
图2-7 提交错误会重新输入
3.“游蛇(银狐)”黑产防御策略
3.1 源头防范:切断恶意传播入口
• 规范软件下载,识别仿冒网站
仅从官方网站、正规应用商店下载软件,拒绝下载“破解版”、“内部版”等非官方渠道的软件;
仔细核对域名,警惕含乱码、替换字符(如“o”改“0”)的仿冒域名;
下载文件查看是否有正规有效的数字签名并且与软件开发商相符;
开启浏览器“安全浏览模式”与杀毒软件的“网页防护”功能,自动拦截钓鱼网站。
请查阅安天发布《“游蛇(银狐)”黑产密集仿冒各类流行应用:WPS下载站打假专辑》进行钓鱼网站识别与防范。
• 辨别即时通讯软件传播的恶意文件,拒绝盲目操作
警惕文件名含“人员名单”、“补贴调整”、“税务通知”、“职称评审”、“ 项目申报”、“ 供暖补贴”且带乱码或超长字符的文件(如“2025 违规内职人员名单XXXXX.exe”)。看到陌生人、非管理员发送的.exe、.rar文件,先进行核实再处理。
接收可疑文件时,先用杀毒软件的“右键扫描”功能进行扫描,或使用在线病毒分析平台如安天文件分析服务(https://fenxi.antiy.cn/#/entirety/upload)进行检测,禁止双击执行未知可执行文件。
• 安装杀毒软件
推荐安装安天终端防护产品,安天智甲具备下载增强防护,支持通过对浏览器、即时通讯软件、电子邮件客户端入口实现管控,发现接收、下载行为,让恶意代码无法轻易落地至本地磁盘或者启动,让绝大部分恶意文件被拦截在加载执行之前。
3.2 过程拦截:防范扩散与诈骗
• 管控群聊,阻断恶意扩散
微信和企业微信用户,群主或管理员点击群聊右上角三个点进入群设置,点击群管理开启“群聊邀请确认”功能,拦截攻击者随意拉人传播恶意代码,并定期清理陌生账号。
图3-1 开启群聊邀请确认功能
• 识别钓鱼内容,不泄露敏感信息
收到“补贴申领”、“身份验证”信息,先通过官方渠道进行核实,拒绝“手机浏览器打开短链接”、“扫码填信息”等要求。
若看到钓鱼网站诱导填“银行卡密码”、“账户余额”等敏感信息则直接关闭,不要向非官方渠道泄露身份证、银行卡号。
3.3 事后处置:感染后应急操作
• 断网止损:立即断开电脑网络,退出聊天软件,在其他设备修改账号密码。
• 清除病毒:重启电脑进入“安全模式”,用杀毒软件进行全盘扫描,删除异常进程与恶意文件。用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具(ATool)进行排查和清除。
图3-2 在安天垂直响应平台中下载工具
• 核查安全:冻结填写过信息的银行卡,查询是否存在异常交易;通知通讯录联系人警惕恶意信息,避免受到二次感染。
• 留存证据:保存恶意文件、异常截图、杀毒日志等,可以联系安天应急响应团队(cert@antiy.cn)进行处置。必要时重做系统清理攻击者投放的其他恶意代码。
安天针对“游蛇”威胁历史报告清单
2022年以来,安天CERT已经针对“游蛇”相关活动发布16篇分析报告。