近期,CNCERT 和安天联合监测到“游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)组织活动频繁,攻击者采用搜索引擎 SEO 推广手段,伪造 Chrome 浏览器下载站。伪造站与正版官网高度相似,极具迷惑性。用户一旦误信并下载恶意安装包,游蛇远控木马便会植入系统。实现对目标设备的远程操控,盗取敏感数据等操作。通过跟踪监测发现其每日上线境内肉鸡数(以 IP 数计算)最多已超过 1.7 万。
“游蛇”自 2022 年下半年开始频繁活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎 SEO 推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。
报告:关于“游蛇”黑产攻击活动的风险提示 (点击下载)