惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

SecWiki News
SecWiki News
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
V
Visual Studio Blog
博客园 - 叶小钗
S
SegmentFault 最新的问题
IT之家
IT之家
大猫的无限游戏
大猫的无限游戏
博客园_首页
Apple Machine Learning Research
Apple Machine Learning Research
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
月光博客
月光博客
酷 壳 – CoolShell
酷 壳 – CoolShell
腾讯CDC
D
Darknet – Hacking Tools, Hacker News & Cyber Security
V
V2EX
阮一峰的网络日志
阮一峰的网络日志
L
Lohrmann on Cybersecurity
量子位
C
Cyber Attacks, Cyber Crime and Cyber Security
T
Tor Project blog
J
Java Code Geeks
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
博客园 - 三生石上(FineUI控件)
Attack and Defense Labs
Attack and Defense Labs
AI
AI
The Cloudflare Blog
T
Tailwind CSS Blog
S
Schneier on Security
爱范儿
爱范儿
PCI Perspectives
PCI Perspectives
Stack Overflow Blog
Stack Overflow Blog
S
Secure Thoughts
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
T
The Exploit Database - CXSecurity.com
博客园 - 【当耐特】
V2EX - 技术
V2EX - 技术
S
Securelist
P
Proofpoint News Feed
T
Threat Research - Cisco Blogs
Help Net Security
Help Net Security
C
Cisco Blogs
N
News and Events Feed by Topic
人人都是产品经理
人人都是产品经理
B
Blog RSS Feed
K
Kaspersky official blog
T
The Blog of Author Tim Ferriss
G
Google Developers Blog
S
Security Affairs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Simon Willison's Weblog
Simon Willison's Weblog

IT之家

消息称大疆 Pocket 4 目标超千万,可能是一英寸 CMOS 出货量最大的单品 OpenAI 回应马斯克要求罢免奥尔特曼:搞法律突袭,扰乱诉讼 - IT之家 鸿蒙智行问界 M6 预订量突破 10 万台,预售 26.98 万元起 今年一季度全国铁路完成固定资产投资 1379 亿元,西十高铁、雄商高铁山东段联调联试 - IT之家 首届北京市中学生人形机器人足球赛今日启动,近 50 支队伍参赛 - IT之家 涉及“赵一鸣是日本品牌”等,抖音处置 1500 余条谣言内容 - IT之家 广汽集团与海尔集团签约,探索“人车家”互联生态 - IT之家 亚马逊调整云游戏平台 Luna 业务模式,取消 Ubisoft+、GOG 等第三方商店 消息称华擎将推出 X870E Taichi White,补全 AMD 800 系白色旗舰主板缺失 长城汽车归元平台首款方盒子全球征名,十二佳提名公布 - IT之家 消息称雷克萨斯新车即将支持苹果数字车钥匙 - IT之家 普京要求俄罗斯加速自研有竞争力的 AI 模型,彻底转向国产技术 - IT之家 影石刘靖康:已开源保真全景无人机仿真平台 AirSim360、DAP 全景度量深度模型等核心成果 - IT之家 长安汽车总经理赵非:当前车企仅靠卖车已难以盈利 - IT之家 地平线创始人余凯:4 月 22 日推出中国第一款舱驾融合智能体芯片“星空” - IT之家 冯兴亚:广汽集团具身智能机器人即将量产,飞行汽车预计今年完成适航认证并量产交付 - IT之家 模块化笔电制造商 Framework CEO 痛批业界追逐“AI 优先”,称个人计算设备可能就此消亡 16 年来首次:小米首届员工运动会今天启幕,雷军压轴致辞 - IT之家 比亚迪廉玉波:新能源汽车产业正进入确定性与不确定性并存的阶段 - IT之家 阿耳忒弥斯 2 号宇航员安全返回地球,有哪些技术和科研收获 - IT之家 曝索尼 Alpha 7R VI 全画幅无反相机将随 100-400mm f/4.0 GM 镜头一同登场,发布会预计在 5 月 小米产教融合最新成绩披露:合作院校超 400 家、成都基地启用 - IT之家 亚马逊 CEO 贾西:自研芯片年化收入预估 500 亿美元,规模超 AMD 与英特尔 马来西亚推动“AI 城市”转型,目标 2030 年成为“AI 国家” Galaxy S24 Ultra 手机用户反馈三星人为设限,无法使用 Galaxy Buds4 Pro 耳机高清语音 广汽集团董事长冯兴亚:当前县级市场新能源汽车渗透率不到 20% - IT之家 消息称《地铁:离去》新作下周公布,有望 State of Play 发布会亮相 广汽新一代智能座舱架构与电子电气架构明日发布,将宣布芯片生态建设的重大突破 - IT之家 苹果预订台积电 6 万片晶圆产能,2027 年全力冲刺 AI 服务器芯片 日本经济产业省向 Rapidus 追加 6315 亿日元支持,加速下一代半导体研发 差 10%:消息称三星 2nm 工艺良率卡在 60%,无缘代工高通第六代骁龙 8 至尊版芯片 岚图汽车卢放:有话语权的企业宣传技术要控制言行,不要去误导人 - IT之家 我国业界首个产业协同平台,“太空算力专业委员会”启动成员征集 - IT之家 梅赛德斯-AMG CLA Shooting Brake EQ 高性能电动旅行车路测图曝光 特斯拉 Semi 电动卡车电池架构曝光:创新垂直立方设计,攻克低温续航衰减难题 - IT之家 加州初创公司 PowerStation 投放新型快充站:完全太阳能供电,限时免费开放 - IT之家 蔚来 2026 款乐道 L90 将搭载神玑 NX9031 辅助驾驶芯片,4 月 21 日上市 卢放谈岚图与华为合作:是战略合作,也是两个独立主体,对双方快速成长非常重要 - IT之家 OpenAI 回应 Axios 工具安全事件,敦促苹果 Mac 用户更新 ChatGPT 等应用 滴滴 Robotaxi 将采用混合派单模式,系统判断是否派给无人驾驶汽车 - IT之家 岚图汽车董事长卢放:如果原材料价格再涨,最后一定会传到终端 - IT之家 华为靳玉志:L3 是走向完全自动驾驶的必经阶段,今年或为全球自动驾驶元年 - IT之家 吉利杨学良谈未来的汽车:是智能移动终端和数据载体,更是生态入口 - IT之家 爱因斯坦预言百年后,引力波有望揭示宇宙大爆炸原初黑洞 - IT之家 53 分钟超长全食:美国载人绕月任务记录罕见深空日食奇观 - IT之家 美国联邦航空管理局另类招聘:欢迎游戏玩家应征空管 - IT之家 华为靳玉志重申不造车:致力于成为智能网联汽车时代的“电子螺丝钉” - IT之家 京东否认做网约车业务:新项目 4 月 13 日上线 爱沙尼亚选择不跟进青少年社媒禁令:解决不了问题,孩子们总有办法绕过 - IT之家 本月生效:微软 PowerShell 7.7 预览版起全面转向 MSIX 火狐 Firefox 浏览器公司 Mozilla 痛批微软:强推 Copilot,限制用户选择 长安汽车回应“上百辆网约车频现电池故障”诉讼:涉及单一车辆,谴责夸大舆论 - IT之家 李斌:蔚来高峰时一年要买 3 亿美元的英伟达芯片,自研芯片已经替公司省了很多钱 - IT之家 壹号本 ONEXStation 迷你 AI 工作站上架:395 + 128GB + 1TB 首发 18999 元 OpenAI 奥尔特曼住所遭燃烧瓶袭击后发声:AI 担忧不应演变为暴力行为 - IT之家 消息称 Epic 正开发迪士尼 IP 射击游戏:类似《Arc Raiders》,11 月发布 保时捷 911 GT3 Sport Cabriolet 敞篷车曝光 消息称行业首款横向阔折叠华为 Pura X Max 与 Pura 90 系列一起登场 笔记本同款陶瓷铝合金材料,华硕推出 ZenMouse MD202 无线鼠标 - IT之家 索尼 INZONE 首款开放式游戏耳机:英纵 H6 Air 曝光,199 克、支持 7.1 环绕声 vivo 公布 OriginOS 6 四月体验升级亮点:支付宝新能源充电上岛,小 V 圈搜可查食物热量 橙色版 OPPO Find X9 Ultra 手机渲染图曝光 Snap 与高通扩大合作,骁龙 SoC 将持续为 Specs 系列智能眼镜提供支持 工信部原副部长苏波:预计 2030 年新能源汽车国内市场渗透率将超七成 - IT之家 开源电子书管理工具 Calibre 9.7 发布:支持 HTTPS 离线模式、增强搜索稳定性 F1 紧急调整 2026 赛车混动规则,解决最高 70 公里时速差问题 小米手机今日起正式调价,REDMI K90 Pro Max 上涨 200 元 无视用户反对,美国车企正逐渐将订阅制功能视为核心收入来源 - IT之家 HD 现代重工成功建造全球首批氨动力船舶 - IT之家 佳明 CIRQA Smart Band 健身手环曝光,专注压力恢复监测 索尼将于 4 月 15 日发布 INZONE 英纵游戏电竞外设新品 努比亚回应红魔 11 Pro 系列手机遭 3DMark 除名事件:展示硬件极限性能 谷歌安卓酝酿自动备份新方案:手机照片视频直存 PC,不用付费存云盘 - IT之家 微信鸿蒙版 App 8.0.16.55 正式版更新发布,安装次数即将突破 5000 万次 小米汽车:新一代 SU7 新功能预计下月起向其他车型 OTA 推送 Anthropic 和 OpenClaw 的博弈:“龙虾”之父 Steinberger 的 Claude AI 账号短暂被封 我国首个海上注碳增气项目开工,年封存超百万吨二氧化碳 - IT之家 动态磁贴情怀难消:微软揭秘 5 种 Win11 开始菜单原型方案 ChatGPT 用户规模过于庞大,欧盟拟依据《数字服务法》严管 OpenAI - IT之家 首次落地欧洲,特斯拉 FSD 受监督版本在荷兰获批 - IT之家 美国载人绕月飞船返回地球,溅落在预定海域 - IT之家 微软重塑 Win11 预览版体验:简化频道、全量推送、切换更顺 - IT之家 英国政府警告:若科技公司未能删除非自愿私密影像,高管将面临监禁 - IT之家 微软推送 Dev 26300.8170/Beta 26220.8165 预览版:FAT32 格式化支持 2TB 微软推送 Win11 Canary 29565.1000/28020.1812 预览版:增强触控板、优化拖拽托盘 科技巨头 AI 需求激增,大举投资小型模块化反应堆 - IT之家 IT早报 0411:DeepSeek V4 将于 4 月下旬正式发布;阿里认领神秘 AI 视频模型“欢乐马”;华为 Pura 系列发布会定档 4 月 20 日;第二批 625 亿国补资金下达... 马斯克的 XChat 独立消息应用 17 日登陆苹果 iPhone / iPad:无广告、防截图、阅后即焚 场馆人为失误,导致 NBA 常规赛直播被 Apple TV 更新打断 美法院裁定:Meta 必须面对马萨诸塞州的青少年成瘾诉讼 - IT之家 CounterPoint 报告 2026Q1 全球手机出货量:苹果 iPhone 同比增 5%、三星降 6%、小米降 19% Omdia 报告 2026Q1 全球手机出货量:三星市占 22%、苹果 20%、小米 11% 有望让 Cookie 攻击走向历史,谷歌 Chrome 浏览器 Windows 版 146 更新引入 DBSC 功能 海上平板车:海军最新型半潜船亮相,首次进行夜间装载潜浮训练 - IT之家 消息称欧盟委员会计划将 ChatGPT 列为“超大型搜索引擎”,OpenAI 或面临更严格监管 - IT之家 央视起底 AI 造谣乱象:制作门槛低、辟谣压力大,“AI 标注”并非免责牌 - IT之家 三星 Galaxy A57 5G 手机国行发售:Exynos 1680 芯片、5000mAh 电池,3299 元起 512GB 版 2119 美元 → 2199 美元,三星 Galaxy Z Fold7 折叠屏手机部分配置在美国涨价 VGN 推出“闪电 68”有线机械磁轴键盘:采用三芯片方案、可选两种轴体,599 元起 - IT之家 联想推出 2026 款来酷斗战者“战 7000”笔记本,i7-13645HX + 16G + 512G + RTX5060 售 7699 元起
国家互联网应急中心提示:黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马 - IT之家
2026-05-22 · via IT之家

IT之家 5 月 22 日消息,今日,国家互联网应急中心 CNCERT 发布关于黑产团伙批量搭建高仿真钓鱼网站大规模传播银狐木马的风险提示,IT之家整理如下:

一、事件概述

近期,CNCERT 监测发现银狐远控木马通过批量生成的高仿真钓鱼网站大规模传播,样本落地后将 Shellcode 注入系统关键进程执行远控,与境外 C2 服务器建立持久化连接,实现对主机的隐蔽控制。黑产团伙疑似利用 AI 工具大幅提升钓鱼页面制作效率,结合域名批量注册、仿冒网站访问流量精细化监测等手段,形成“网络钓鱼 → 木马下载 → 进程注入 → 远控控制”的完整攻击链。

二、钓鱼网站特征分析

对 2026 年 2 月 6 日-5 月 4 日注册的 439 个钓鱼网站域名分析,这些网站的主要特点如下:

1)钓鱼网站主要围绕办公软件、浏览器和通讯 / 代理类软件进行仿冒,其中 wps、chrome 合计 340 个,占 77.4%。

2)注册行为具有明显的批量化特征,发现最高峰一分钟内注册 15 条 letsvpn 相关域名。

3)域名后缀策略高度集中,hl.cn 占 42.6%,com.cn 占 30.8%,二者合计 73.4%。

4)命名模板复用明显,常见关键词包括 zh、cn、apps、web、office 并大量使用字母重复、缺字、错拼等手法。

5)钓鱼网站在 bing 搜索网站上通过 SEO 投递,确保网站能在 bing.com 网站搜索到;钓鱼网站会检测 refer 头信息,确保访问必须来自搜索引擎,若直接通过域名访问,这些钓鱼网站会跳转 bing.com 或者其他不可访问的网站,防止钓鱼网站被分析。

6)钓鱼页面并未对官方网站进行原样仿造,而是呈现出高度标准化的前端结构、清晰规整的 HTML 注释,且大量采用通用化前端技术栈。针对同一仿冒主题(如 Chrome 浏览器),不同时间注册的页面在布局与内容上均不统一。综合判断,此类钓鱼页面疑似由 AI 编码快速生成。

被仿冒软件占比分布:

相似软件

数量

占比

google/chrome

179

40.80%

wps

161

36.70%

telegram

24

5.50%

letsvpn

18

4.10%

whatsapp

12

2.70%

kuailian

11

2.50%

youdao

10

2.30%

bitbrowser

5

1.10%

clash

4

0.90%

顶级域名占比分布:

顶级域名

数量

占比

含义

hl.cn

187

42.60%

中国黑龙江地域二级域名

com.cn

135

30.80%

中国商业机构二级域名

cn

102

23.20%

中国国家顶级域名

ac.cn

8

1.80%

中国科研 / 学术机构二级域名

hk.cn

5

1.10%

中国香港地域二级域名

hn.cn

1

0.20%

中国湖南地域二级域名

ah.cn

1

0.20%

中国安徽地域二级域名

三、案例分析

(一)批量搭建钓鱼网站

攻击者疑似使用 AI 技术批量化搭建钓鱼网站。该黑产团伙批量制作仿冒 Chrome、Clash、WPS 等主流常用软件的高仿真钓鱼页面,将页面伪装成官方正版下载入口,以此诱导用户点击并下载恶意程序。如下图所示,为仿冒 Chrome、WPS、Clash 下载的钓鱼页面样例。

图片

图片

图片

这些仿冒网页前端代码有较强的编码固定格式,且对代码段有相对应的注释说明,如下图所示,仿冒有道翻译和 Clash 的两个网站,其 html 代码样式高度一致。

图片

(二)恶意木马投递

攻击者通过钓鱼网站完成木马投递。钓鱼网站会向用户提供携带恶意程序的压缩包下载链接,相关恶意资源文件大多存储于境外云存储服务平台或国内云对象存储服务中,通过多层跳转下载的方式迷惑用户,降低早期被检测拦截的概率。

(三)系统进程注入

银狐木马样本执行后实施进程注入行为。样本运行后,在安装真实 Chrome、WPS 等软件的同时,会将恶意 shellcode 注入到 ctfmon.exesihost.exesvchost.exeelevation_service.exe 等系统关键进程中,以合法系统进程为掩护,实现恶意代码的隐蔽运行。下图为 EDR 产品告警,可以看出,被控主机与 C2 的通信均使用 Windows 的系统进程。

图片

图片

(四)远程控制连接

被注入进程主动发起远控连接。被植入恶意代码的系统进程会主动外联境外 C2 服务器,通信端口主要为 443 端口与 22 端口,成功建立连接后接收攻击者下发的远控指令,完成数据窃取、文件操作、持久化驻留等恶意行为。

(五)钓鱼网站访问统计

这些钓鱼页面使用了免费流量统计技术服务提供商 51.LA 的网站统计来对钓鱼网站的访问量,访问时长,来源页面等来做统计分析。利用这些统计数据,黑产团伙能够专业化的开发钓鱼网站,计算钓鱼网站的 ROI(投入产出比),精准优化钓鱼策略,提升攻击成功率。下图为钓鱼网站的统计代码。

图片

每种钓鱼应用会通过不同的 ID 进行区分统计,各应用对应 ID 的如下表所示。

仿冒对象

统计 ID

clash

L4rC8E7ISMR5cOyi / L56E7kDSHNvNpfzY

快连

L4NNnKpJZ0RcW8GY / L4e6WH4KcxTQEsJO

chrome

L4eCf0G8oXvab2n7 / L4S9pW46ugZ5HLhW

teams

L4ixuUuJi0dA2nYF

WPS

L5OOMojcmFzavw26

搜狗浏览器

L5MbevAiByh9Bosu

telegram

L5TOP7tRWKlFL5Su

四、恶意样本分析

对仿冒 Chrome 的应用的安装包进行分析,发现该软件运行后会安装真实的 Chrome 软件,同时该程序会将恶意代码注入系统进程中隐藏自身。样本相关信息如下表所示:

属性

来源钓鱼网站

mb-google-chrome.hl.cn

样本下载链接

https://xgootd.oss-cn-hongkong.aliyuncs.com/ggpc_win64_14.zip

样本 hash

2f8cf966b3fc87ba1a8151428a36652e78f2d57005621eecd514629a902e88b5

样本名称

ggpc_win64_14.zip

样本 C2

sangbiao11.com(137.220.154.107:22)

样本简述

样本为 Gh0st 远控木马,通过 VMP 加壳以及内存加载的方式规避检测,最终实现远程命令执行和敏感数据窃取等恶意功能。

该样本为“Inno Setup”打包的软件安装文件,样本打包于 2026 年 1 月 2 日。

图片

安装文件运行后会在“C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE”目录下释放文件并运行可执行文件 Hveuh3.exe

图片

Hveuh3.exe 具有无效的数字签名,且含有 PDB 路径:“E:\CC\lab_release\video\src\client2\GameLiveTool\Release\x64\D3DHook.pdb”。通过该 PDB 地址分析可执行文件是基于一个游戏录屏、直播、外挂检测项目的正常代码,样本编写者可能具有游戏外挂编写能力,同时做了远控木马的开发。

图片

可执行文件 Hveuh3.exe 文件会加载同目录下的可执行文件 0C5uqPzO.Uww,该文件为 vmp 加壳的 dll 可执行文件,文件信息如下图所示。

图片

可执行文件 Hveuh3.exe 文件会导入 0C5uqPzO.Uww 文件中混淆后的导出函数,如下图所示。

图片

恶意 dll 文件 0C5uqPzO.Uww 会使用 CreateFileW 方法读取同目录下的加密 Shellcode 文件 L0PM0o0j.EC,并进行内存加载。

图片

样本同时将释放目录“C:\Drivers\ySCqV\cb3uGF\s6quO\VPUE”设置为不可删除和无法访问:

图片

动态调试发现该样本会获取 system 权限,创建服务自启动,并在“sihost.exe/ ctfmon.exe”等系统进程中注入 gh0st 载荷,并加密配置保存在 config.ini 文件中:

图片

config.ini 保存在“C:\ProgramData\”下随机生成的目录中,如下图所示。

图片

植入完成后,会与其 C2 地址进行通信,C2 地址为 sangbiao11.com (137.220.154.107:22)。

图片

五、控制规模

通过关联分析已发现 17 个相关 C2 恶意域名,和 20 个 C2 的 IP 地址。通过监测分析发现,2026 年 4 月 8 日-5 月 7 日,相关木马境内肉鸡数最高达 2.6 万台,累计感染肉鸡数达到 18.2 万台,每日总上线规模变化趋势如下图所示。

图片

其中日控制规模超 500 的恶意 IP 有 9 个,其每日被控 IP 数变化如下图所示。其中,近 1 个月总控制规模超 10000 个 IP 的 C2 共有 6 个,分别是 185.203.39.134(dd.kmsccedn.com),182.16.88.242(vaeth.cn),103.12.148.80(feiji22.vip),137.220.158.22(www.amdyjl5.com),27.124.2.150(www.w1pf9.com),104.143.33.78(www.vpconn.fit)。

图片

六、防范措施

请广大网民强化网络安全风险意识,提高自我防范能力,谨防仿冒软件、恶意程序侵害,避免造成财产和信息损失,主要防范建议如下:

1)优先认准软件官方网站(如 www.wps.cn)及手机、电脑官方应用商店;警惕搜索引擎结果中带有乱码前缀、拼接拼凑式的域名链接,例如 kn‑wps.com.cnwww-wps-cn.com 等,这类链接大多为仿冒钓鱼网站,切勿点击下载。

2)提高对搜索引擎标注“广告”链接的警惕性,大量恶意软件、仿冒下载链接常通过广告置顶展示,尽量避开广告条目,优先选择自然排名的普通搜索结果。

3)全程开启杀毒软件实时防护功能,定期进行全盘安全扫描,及时更新电脑及手机操作系统、常用软件的安全补丁,修补安全漏洞。

4)日常留意设备流量使用与运行状态,及时排查异常网络流量、陌生后台行为;若发现设备疑似感染银狐木马等恶意程序,立即核查被控风险,第一时间隔离并清理受害设备。

七、相关 IOC

控制端 IP 地址

103.73.220.57

47.76.195.75

104.143.33.78

103.156.25.99

122.248.198.240

203.91.74.8

154.23.183.157

47.76.255.167

27.124.2.150

185.203.39.134

103.12.148.80

137.220.158.22

182.16.88.242

192.238.128.30

103.156.25.99

54.254.148.22

154.23.184.120

192.252.176.79

47.130.236.119

137.220.153.134

控制端域名

www.ozz79u.com

www.danpengit.com

www.vpconn.fit

ychsq.icu

womsz.com

tmm.magentaias.com

ltan7942.top

dd.kmsccedn.com

www.w1pf9.com

www.amdyjl5.com

feiji22.vip

woyfc.com

vaeth.cn

www.hongyun4.com

www.chishuikaisuo.com

www.xr95633.com

rtjthgjnwetghf39.top


广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。