10 月 23 日消息,据网络安全威胁和漏洞信息共享平台今日消息,近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,攻击者大规模操纵 SEO (搜索引擎优化) 排名传播恶意软件,造成用户信息泄露与系统受控。
据介绍,攻击链始于搜索欺诈诱导,攻击者伪造高仿钓鱼页面,诱骗用户点击触发重定向后,由恶意 JavaScript 脚本 nice.js窃取设备参数发送至攻击服务器。动态载荷投递阶段随即启动,服务器通过两层 JSON 响应下发捆绑正版软件(DeepL 安装器)与恶意组件(Winos 变种 EnumW.dll)的 MSI 安装包,该安装包提权后释放 55 个碎片文件至 C:\ProgramData\Data_Xowlls 目录并激活恶意代码。
进入反分析规避阶段,恶意软件(Winos 变种)加载后,会验证进程身份(非 msiexec.exe则立即退出),检测系统时钟(连续两次请求百度的时间间隔,若小于 4 秒则终止),检查 ACPI 表及桌面文件数量(识别虚拟机)。检测通过后,该恶意软件将 55 个碎片重组为恶意数据文件 emoji.dat,并释放干扰文件 vstdlib.dll(内部填充冗余数据)。
而持久化植入阶段是根据防护状态来选择潜伏机制,若存在安全软件,该恶意软件则劫持文件管理器进程;否则,篡改启动项伪装为“Google 更新”。最终在执行加密攻击时,该恶意软件会创建加密凭证文件 venwin.lock(使用 60 秒刷新的动态 AES 密钥),加密连接 C2 服务器,启动全方位监控(键盘记录、屏幕捕获、窃取加密私钥等)。
工业和信息化部网络安全威胁和漏洞信息共享平台建议相关单位及用户立即组织排查,定期离线备份核心数据;严格核验软件域名真实性,杜绝来源不明程序运行;及时修复系统漏洞并阻断恶意提权;加强员工反钓鱼培训,识别 SEO 欺诈及伪装启动项;同步部署终端行为监控,全面封堵网络攻击风险。
