警惕“高仿”软件安装程序中隐藏的钓鱼木马

警惕“高仿”软件安装程序中隐藏的钓鱼木马

近期，360数字安全大脑监测发现多起利用钓鱼网站攻击特定用户的安全事件。 攻击者通过精心制作的钓鱼网站诱使目标用户下载并安装二次打包的软件安装程序。 这些安装程序在二次打包过程中嵌入远程控制木马程序，窃取用户隐私数据并进一步控制，严重威胁政企组织的数据和财产安全。

360数字安全大脑在进一步溯源分析中发现，在攻击部署过程中，钓鱼黑客团伙不仅精心设计了钓鱼网站的页面，还进行了针对性的SEO优化，以提高钓鱼网站在搜索引擎中的排名。

以某假聊天软件为例，目前在某搜索引擎排名第二。

打开该虚假聊天软件的钓鱼网站后，受骗用户会被引导下载一个名为“.rar”的压缩包，压缩包内有一个名为“.msi”的安装包程序。

程序安装时，除了释放正常的聊天软件外，还会释放远程控制木马防钓鱼软件是什么，并在开始菜单目录下添加一个快捷方式文件（lnk文件）指向其.exe（合法程序正在使用），以进一步迷惑用户，诱导用户点击运行。

但是，一旦.exe 被执行，它将用于启动一个名为.exe 的程序，该程序也是由安装包发布的（自动化工具防钓鱼软件是什么，本身不是恶意软件）。

.exe执行后会读取同路径下的.ini配置文件，根据配置文件的指令启动两个bat文件，将dat文件拼接成一个完整的可执行程序并执行。 完成上述部署操作后，木马会将lnk更改为指向假聊天软件的主程序，以此来骗人。

最后，木马程序执行后，会从以下网址下载恶意：

下载后会直接在内存中加载执行，其功能是典型的远程控制木马——具有关闭设备、获取击键记录、录音、取走等一系列常用控制功能屏幕截图，下载程序并运行它们。

如果受害机QQ正在运行，木马甚至可以获取登录QQ的一些本地信息。 通过这些信息构建数据，可以进一步从网络接口获取：已加入的群信息、群好友信息、群成员列表等隐私数据。

利用这些信息，攻击者可以对受害者及其联系人发起网络钓鱼、诈骗和其他非法活动。 程序获得QQ本地权限后，还可以利用受害人的QQ发布虚假消息，危害极大。

值得注意的是，钓鱼黑客团伙还精心“高度模仿”了多款聊天软件的官网页面，进行诱骗。

因此，除了有针对性的安全防范，360数字安全大脑建议政企机构建立完善的数字安全防御体系，正确安装安全防护软件，避免重要数据泄露造成不可挽回的损失。

360终端安全管理系统基于全球15亿终端覆盖形成的全网视野，由360数字安全大脑赋能，集杀毒、漏洞及补丁管理、Win7盾、终端管控于一体、桌面优化、软件管理、安全U盘和移动存储管理等功能合二为一，及时完成对此类病毒木马的查杀。 推荐广大政企组织下载使用，尽快构建应对高级威胁的终端威胁反制体系。