木马“卷王”再度升级传播手段，360全方位遏制银狐变种

www.163.com 2024-12-11 19:51

今年的木马病毒界，银狐木马可谓当之无愧的“卷王”。该木马主要在QQ、微信等即时通信软件上，通过伪装成如发票、财税文件等与工作相关的文件，并利用“查_看_uninstall.exe”、“11月名单.exe”等文件名或链接，诱骗用户点击下载和执行，从而实现对目标计算机的远程控制。

在不到一年的时间里，银狐木马凭借攻击方式、攻击组件部署方式、恶意样本投递方式的连续迭代，变种频出，与杀毒软件持续对抗。就在近期，360安全大模型再次监测到一个被长期监控的银狐木马团伙更新了传播手段，对广大政企机构造成严重威胁。

瞄准Web应用上传漏洞

借用政企网站挂马为非作歹

由于很多Web应用的上传接口对图片、附件等文件的访问没有限制，攻击者可以很轻松的在网站上完成病毒上传或者挂马行为。据360安全大模型监测，KindEditor、WordPress、UEditor、ThinkPHP等数十款热门Web应用均存在此类漏洞风险，该团伙正是利用这些上传漏洞，让很多政府、企事业单位、大型国企的正规网站成为了银狐木马的“传播源”。

UEditor漏洞致某博物馆网页沦陷

UEditor是国内一款被广泛使用的Web前端编辑器，攻击者可以利用其早期版本存在的上传漏洞上传可被执行的恶意代码脚本，从而获取Web服务器的管理权限。

360监测到国内某博物馆主页便使用了带有漏洞的UEditor编辑器，这也导致了其主页在今年十月被黑客篡改并植入了银狐木马。一旦有用户访问该页面，便会执行恶意链接并跳转到某盘的木马下载共享链接，进行木马下载操作。由于该网站属于是正规网站，可信度较高，最终导致很多用户的设备遭到银狐木马的感染和控制。

用户从某博物馆页面下载银狐木马载荷

KindEditor漏洞致某科技公司受灾

另一款广受青睐的Web前端编辑器——KindEditor在某些版本中存在的上传漏洞仅允许攻击者可以上传.txt和.html文件。但因为这些文件可以嵌套暗链接或XSS攻击代码，攻击者同样可以通过构造恶意的html文件来实现跳转、钓鱼等恶意行为。

360根据大数据排查发现，某家专注于提供智慧机器人、智能控制器一体化解决方案的科技公司，产品广泛应用于航天、5G通讯、人工智能、医疗设备、轨道交通、智能卫浴、工业控制、新能源等众多领域。该公司网站由于使用了带有漏洞的KindEditor编辑器，导致在今年十月被攻击者利用挂载了银狐木马。当该公司的客户或远控访问其主页时，便会下载银狐木马到设备中。