银狐再起风波：2024税务抽查引战勒索风暴

近日，在日常网络狩猎过程中，亚信安全威胁情报中心的研究专家偶然发现了一个团伙，该团伙不仅在QQ群内散播钓鱼链接，还通过伪造的下载网站推广含有恶意软件的EXE文件。面对这一明显的威胁传播行为，该专家迅速组织了威胁情报中心运营团队成员共同投入调查工作。经过一段细致的追踪与分析，威胁情报团队最终确定，这次网络攻击的背后黑手是众人皆知的银狐相关团伙，一个被大家熟知的老对手。
《亚信安全2024年3月威胁报告》已开放下载～进入官方微信公众号【亚信安全】下载详细《报告》！
银狐组织样本下载
安全研究专家和运营人员发现这些恶意文件使用了巧妙的手法：盗用合法证书并伪造，以掩盖其真实面目。这些文件将攻击代码隐藏在加密的资源部分中，只在特定时机解密释放下一阶段的攻击。这种方法巧妙地规避了传统的攻击路径，利用正常文件加载配置文件执行恶意Lua脚本，通过常规应用的更新机制触发攻击。
进一步调查揭示了关键的恶意文件信息，详细描述了它们的操作方式和攻击手段。他们发现这些文件中藏有Windows、macOS和Android三平台的木马，点击下载后会跳转至仿冒的Telegram站点下载MSI安装包。这个安装包具有反调试功能，能检测虚拟机环境并阻止后续安装过程。

投递的第一阶段会伪装成第三方应用安装包的母体程序，具备合法的签名，以规避杀软检测。