银狐木马新变种伪装人事钓鱼远控窃密预警
摘要
2026年5月24日,国家计算机病毒应急处理中心预警称“银狐”木马出现新变种,主要面向国内一定规模组织机构的职场人群,重点针对人事相关岗位。攻击者通过伪装成“裁员补偿”“违纪通报/名单”“裁员名单”“补偿方案”等人事主题钓鱼文件或下载链接,在QQ、微信、飞书、钉钉等工作群投放传播,并通过伪装为文件夹、快捷方式、回收站或添加“pdf”等伪装后缀诱导点击。样本激活后在后台静默植入远程控制程序,实现远程控制主机并窃取敏感数据与公民个人信息,且可能被用于进一步电信网络诈骗、勒索,或在单位内部发起虚假转账、篡改收款人等侵财行为。建议核验文件来源,使用病毒协同分析平台(https://virus.cverc.org.cn)检测,更新系统与防病毒软件、加强培训,发现异常或账号被盗用时及时断网排查并更换高强度口令。
正文
## 事件背景 近期国家计算机病毒应急处理中心发布预警,发现“银狐”木马病毒出现新变种并针对特定用户实施攻击。该恶意软件长期聚焦于特定网络用户群体,已形成相对完整的黑色产业链,对个人信息安全与企业网络安全构成持续且突出的威胁。本次预警所反映的核心态势是:攻击者利用与职场业务高度相关的社会工程话术提升诱骗成功率,重点面向组织机构人员,尤其与人事相关的业务群体,扩大受害面并持续迭代变种以增强隐蔽性与对抗难度。 ## 攻击手法 “银狐”木马属于远程控制类恶意软件,主要通过钓鱼欺诈方式投递并触发感染。攻击者将恶意内容伪装成与人事管理/职场事务相关的文件或信息载体,例如“裁员名单”“补偿方案”“裁员补偿”“违纪通报”等,也可能伪装成文件夹、快捷方式等形式以降低受害者警觉。投递渠道以即时通信工具为主,攻击者可混入工作群组,通过QQ、微信、飞书、钉钉等发布恶意文件或下载链接诱导员工下载点击;一旦受害者触发,木马会在后台静默植入远程控制程序并实现对主机的远程控制。控制建立后,攻击者可实施敏感数据窃取,并进一步将受害者电脑作为跳板开展电信网络诈骗等后续活动,体现出以规模化控制主机与信息窃取为核心的黑产化运作特征。 ## 影响评估 该新变种攻击目标覆盖面较广,但风险更集中于组织机构工作人员,尤其是人事相关岗位人员。技术层面上,受害主机被远程控制并面临敏感数据被窃取的直接风险;业务与安全层面上,信息泄露可能引发勒索或欺诈等进一步危害,并对企业正常运营与整体信息安全造成严重影响。结合报告结论,攻击者还可能利用已控主机或被盗用账号在单位内部发起虚假转账业务或篡改转账信息,从而造成直接财产损失。其隐蔽性与变种迭代速度增加了发现与防护难度,使得单位在终端安全、账号安全与内部沟通渠道治理方面面临更高复杂性风险。 ## 处置建议 防范与处置应围绕“减少诱骗成功率、提升样本检测能力、确保终端与账号安全、快速隔离止损”开展:管理层面应加强内部安全培训与宣贯,要求员工对不明来源文件与链接保持警惕,拒绝点击或下载陌生人发送的文件,尤其对以人事业务为主题的异常通知、补偿方案等内容提高核验意识。检测层面可将可疑文件上传至病毒分析平台(包括国家计算机病毒协同分析平台)进行检测研判,并保持防病毒软件实时监控。加固层面应及时更新操作系统与防病毒软件,降低被静默植入与持续控制的风险。应急层面一旦发现异常(含账号疑似被盗用等情况),应立即断开网络连接开展排查与杀毒、安全检查,并在处置过程中做好数据备份与口令更换,以尽快阻断远程控制链路、降低数据泄露与资金风险。
标签
- group:银狐
- silverfox
- tag:银狐
- threatbook
- threat_intelligence
扩展字段
{
"attack_method": {
"attack_type": null,
"attck_count": 0,
"is_command": "否",
"is_new_attack": "否"
},
"event_types": [],
"gpt_tags": [
"银狐"
],
"malware_name": [],
"reference_links": [
"https://www.gm7.org/archives/107179",
"https://mp.weixin.qq.com/s/SUlxYuiS3VMyQVPJ6N3A_Q"
],
"related_anonymous": "银狐",
"target_area": [],
"target_country": [
"中国"
],
"target_industry_type": [
"国央企"
]
}