美国资安业者Netskope旗下威胁实验室上周警告,中国骇客组织Silver Fox正利用钓鱼网站攻击说中文的使用者,伪装成AI模型DeepSeek、金山软件所开发的办公室套装软体WPS Office,以及搜狗输入法的安装程式,并于安装过程中侧载Sainbox RAT远端存取木马,同时植入Rootkit以隐藏恶意行为。
骇客使用了以假乱真,甚至是比官网还要像真的的网址来误导使用者,例如DeepSeek AI的官网是deepseekcoder.com或GitHub的开源页面,但骇客使用的是deepseek[.]org;又或者WPS Office的官网是wps.com或wps.cn,但骇客使用了wpsice[.]com;搜狗输入法的官网为sogou.com,骇客使用的是sogoucom[.]org。
当使用者透过网钓网站下载安装档时,骇客采用了Windows安装格式MSI,但实际的档案下载来源与所显示的并不一致,且该MSI内含多个档案,包括真正的软体安装程式、可触发侧载机制的Shine.exe、 恶意的DLL与恶意的Shellcode。
图片来源/Netskope
骇客于使用者系统上植入远端木马程式Sainbox RAT,这是开源木马Gh0stRAT的变种,将允许骇客取得系统的完整控制权,以下载或执行其它有效载酬,或是撷取萤幕画面、记录键盘或窃取档案。骇客也利用另一个开源的Hidden专案的Rootkit变种,以隐藏系统中的恶意活动,包括隐藏特定程序、档案与登录档等,以避免被侦测。
恶意程式会将自己写入Windows系统的自动启动清单中,伪装成名为Management的系统管理程式,使得每次电脑重开机时,恶意程式就会自动执行,重新载入Sainbox RAT和Hidden Rootkit等所有恶意元件,因此,光是单纯地重开机并无法清除此一威胁。
各种网钓案例层出不穷,使用者在下载各种常用或热门工具时,最好再三确认所造访的网站是官方且合法的。