警惕!银狐木马借世界杯热度来袭
- 2026-06-22 15:57:41
看不见的“球赛”
2026年世界杯正在如火如荼地进行,全球数十亿球迷正沉浸在精彩的比赛中。与此同时,多个黑产团伙正借着这股世界杯的热度大肆利用钓鱼网站传播银狐木马。他们前赴后继、各显神通,宛如在互联网的阴暗角落中展开的一场另类的“球赛”。
近期,360捕获到大量银狐木马利用钓鱼网站进行传播。而最引人注意的是,在这些钓鱼网站中,有不少是打着“世界杯直播”一类足球相关内容的旗号吸引受害者访问,一步一步下载木马程序并中招。
图1. 银狐木马仿冒世界杯直播进行钓鱼传播
看直播?被直播!
如果您真的相信了这个所谓的“世界杯直播”,进而下载他们的客户端,其安装包会在系统后台偷偷地创建一个名为“MSTF5O”的目录到系统“公用”目录中:
C:\Users\Public\MSTF5O
目录创建后将木马程序释放到该目录下:
图2. 释放的木马程序
释放出的主程序本身是合法的正规程序,带有有效的数字签名。
图3. 被利用的合法主程序
这属于典型的“白利用”攻击模式,合法主程序启动后会加载同一目录下的木马dll库文件,以及另外的数据文件,读取其中的恶意代码并执行。木马启动后,会从远端服务器获取更多的恶意软件或相关文件到本地。
图4. 木马访问的远端服务器
最终,木马程序会等待远端服务器的控制指令,并根据指令窃取受害用户数据或控制受害设备。当你还开开心心等待比赛直播的时候,你的设备和重要数据恐怕正在黑客手中“被直播”……
说是“钓鱼”,实则“撒网”
从网络安全的角度说,这种仿冒正规网站诱导用户的攻击方式被称为“钓鱼”。但实际上,本轮银狐的攻击涉及数千个网站。就这个攻击规模而言,与其说是“钓鱼”,倒不如说是“撒网”。
根据数据统计,本次攻击中仿冒的网站类型最多的是浏览器、音乐以及云存储相关内容。具体的网站类型Top 10如下图所示。
表1. 钓鱼网站类型占比
我们统计了进入6月以来,银狐木马钓鱼网站仿冒各类软件的分布情况,发现当下火爆的AI工具才是钓鱼站点的最爱。此外,各类办公软件、日常工具也都是被钓鱼仿冒的“重灾区”。而随着6月中旬世界杯的开幕,相关的钓鱼网站自然也就出现了显著的上升趋势。
我们所统计到的相关仿冒软件总表如下:
图5&6. 钓鱼网站仿冒软件统计总表
本轮银狐木马发动的钓鱼攻击不仅涉及站点多,覆盖的仿冒类型和产品品牌也非常广泛。可见主打的就是一个“广撒网”的套路,力争做到“面面俱到”。
安全防护与建议
已经安装了360客户端的用户无需担心,360安全大脑可直接识别这一轮攻击中传播的银狐木马。
图7. 360安全大脑查杀银狐木马
面对当下颇为严峻的传播势头,我们也给出以下安全建议:
l 软件、游戏、赛事资源仅从官方网站、正规应用商店下载,不点击社群、短视频、陌生链接。
l 访问网站核对域名,警惕各类拼接字符的仿冒域名。
l 不轻信 “免费游戏、高额赛事福利” 等噱头,杜绝贪便宜心理,远离钓鱼诱饵。
l 设备安装正规安全软件并开启实时防护,定期进行安全扫描。
l 下载陌生安装包、压缩包、附件后先杀毒,不直接运行不明文件。
l 发觉系统异常情况立即断网全盘扫描,出现账号资金异常尽快冻结并报警。
l 发现钓鱼网站、恶意链接,通过12377平台进行举报。
IOCs
HOST
jun616[.]oss-cn-beijing[.]aliyuncs.com
MD5
bdd5a5ce1f73e88df98cf3c1c209b6f1
6b5a5de92ddb3ce57c843f9bdcfcd612
9ec587911e501b73b7cf09f05d0ae17d
245e068a397cc031a331ede5cb62a2fa
c2955872a25aed0bac391ca4a4460c49
