近期,河南省某市公安网安部门工作发现,该市某县多个微信群发生木马投毒事件。经查:系黑客组织非法入侵控制我境内多个电子邮箱、即时通信软件账户,伪装成税务部门发送远控木马,诱导用户点击运行后监听设备运行情况,伺机实施网络诈骗等犯罪活动。属地公安网安部门启动应急响应机制,快速斩断木马程序传播链条,有效控制事态扩散蔓延。
一、事件基本情况
2024年9月4日,河南省某市公安网安部门巡查发现该市某县多个微信群内,有网民伪装成税务稽查部门人员发送名为“9月4号.7z”的压缩包文件,并附文案“@所有人2024年9月税务稽查企业抽查名单文件密码123”的虚假通知,诱导微信群用户下载解压,并安装名为“人员名单6026.exe”执行文件。经提取样本分析,确认该执行文件为MalGeneric木马家族变种,具有极强隐匿性。该木马程序被执行后可检测正在运行的系统进程,向其他正常进程的内存写入数据进行代码注入,实现进程与远控端(域名6026.baidu787.com)进行通信,窃取用户数据和通讯信息,待时机成熟时,利用被感染电脑中已登录的聊天工具软件(如微信等)实施诈骗犯罪。同时远程操控电脑端微信分批次传播扩散木马程序,扩大其感染范围,对网络安全构成严重威胁。
二、调查处置情况
经查,8月28日,该县某镇人民政府工作人员冯某使用电脑在某微信群内下载、解压并触发了上述木马程序,感染后该压缩文件自动被添加进微信收藏中,系该县传播源头。9月3日,黑客组织远程操控电脑端登录的微信账号,向多个微信群发送木马程序触发连锁反应,至9月4日达到传播高峰。经属地公安网安部门迅速工作,于当天17时许斩断传播链条,遏制事态扩散。
三、安全提示
根据工作中掌握,邮政、电信等领域也出现员工误下载执行“银狐”木马导致电脑被控情况。木马执行后在微信程序后台自动转发钓鱼软件和“税务稽查”相关文案到多个微信群组发起鱼叉式攻击,后又折叠已转发的微信群以隐藏转发信息。2023年下半年以来,黑产团伙采用同样的攻击手段、工具和话术,向国内多家政企、金融单位工作人员进行定向投毒攻击,其目标是获得有价值人员身份信息用于电信诈骗犯罪。为避免发生重大网络和数据安全事件,请各单位做好以下工作:
一是健全内部安全管理制度和操作规范,加强网络安全教育培训,切实提升员工网络安全防范意识。
二是强化网络安全技术防护措施,及时监测分析异常网络行为,定期查杀木马程序。
三是高度警惕邮箱不明邮件、即时通讯软件可疑文件,防止社工和钓鱼攻击。发现已有员工感染上述木马程序,要立即指导参考《“银狐”木马程序清除方法》(见附件)消除危害。
附件
“银狐”木马程序清除方法
近日,多地出现黑客组织通过微信投放“银狐”木马程序情况。设备感染后会自动将钓鱼文件添加进微信收藏中,并自动转发到微信群聊。建议已经感染的设备立即采取以下步骤消除风险:
一、电脑端清除步骤
(一)删除钓鱼文件及以下文件,若电脑中添加了用户或修改了管理员用户名,请至对应用户名文件夹下操作:
C:\Users\Administrator\AppData\Local\OneDrive\cache\Run\微软OneDrive.lnk
C:\Users\Administrator\AppData\Local\OneDrive\cache\nw_elf.dll
C:\Users\Public\Downloads\1.dll
C:\Users\Public\Downloads\QQgames.exe
(二)关闭电脑端微信的自动缓存功能,关闭自动下载同步在其他设备中查看过的照片、视频和文件的功能。
(三)重新启动电脑,打开杀毒软件对全盘进行扫描,如扫描出木马程序则立刻清除。
(四)如果有必要,可以进行系统还原或者系统重装。
二、手机端清除步骤
(一)删除微信收藏中的钓鱼文件。
(二)立即停止在已感染手机使用微信,并清除缓存。打开微信,点击“我”-“设置”-“通用”-“清除缓存”,清除微信缓存,然后退出微信账号。
(三)中断手机网络,使用其他设备更改微信密码,在微信登录界面,选择“忘记密码”,按照提示进行密码重置。
(四)使用手机杀毒软件扫描手机,清除病毒。
(五)如果发现微信聊天记录中有可疑的信息或者联系人,请立即删除。
(六)关闭手机端微信的自动缓存功能,关闭自动下载同步在其他设备中查看过的照片、视频和文件的功能。
(七)停用其他设备上的微信。如微信账号同时登录在其他设备上,建议停用其他设备上的微信,以免木马程序通过其他设备继续感染微信账号。