春节过后,银狐木马攻击全面回暖,3月活跃度大幅回升,新变种超500个,传播范围与对抗强度已超越2025年最高水平。根据微步情报局的持续监测追踪,银狐攻击手段持续升级,不仅可以利用空壳公司搭建钓鱼网站,还能直接关闭主流安全软件,企业办公网安全面临严峻威胁。
空壳公司批量造钓鱼网站
银狐团伙通过上百个空壳公司注册大量钓鱼域名,专门仿冒电子税务平台等官方页面。用户点击后会弹出“系统版本过低需升级”的虚假弹窗,诱导用户下载银狐木马。这些空壳公司多关联同一法人,并且拥有多个备用的域名和网络IP,在虚假网站被封锁后,该团伙可实现钓鱼站点的快速切换与迭代,大幅提升常规安全拦截的难度;而且这类型的钓鱼网站能够在搜索引擎中权重更高,更容易被受害者点击访问。
攻击手段再升级
此次银狐变种攻击能力大幅提升,不再依赖第三方漏洞进行攻击,而是转而自主研发合法签名驱动,能直接绕过微软的官方拦截名单,获取系统最高权限,可直接关闭360安全卫士、360主动防御模块、360杀毒、火绒、腾讯电脑管家、金山毒霸、瑞星、木马猎手、安全狗等11款主流杀毒软件及EDR防护进程。木马还能干扰终端检测工具,让普通防护直接“失效”,没有专业EDR防护的设备,遭遇攻击后几乎处于“裸奔”状态。
作为长期跟踪银狐的专业网络安全公司,微步持续监测其变种与手法更新。终端安全管理平台OneSEC、云沙箱等产品,已实现对银狐全量样本的精准检测、智能响应,可快速拦截钓鱼链接、查杀木马变种、抵御驱动级对抗。
数据显示,在被“银狐”拉群攻击的企业中,有93.19%企业在“银狐”拉群前都毫无感知,仅靠普通杀毒软件已无法抵御,企业办公网必须部署专业EDR终端防护,才能有效防范此类高强度黑产攻击。
