国家互联网应急中心：“游蛇”黑产团伙组织活动频繁，伪造 Chrome 下载站盗取敏感数据

用户一旦误信并下载恶意安装包，游蛇远控木马便会植入系统并实现对目标设备的远程操控，盗取敏感数据等操作。通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已超过1.7万。攻击活动分析攻击者搭建以“Chrome浏览器”为诱饵的钓鱼网站，诱导受害者从网站下载恶意安装包。图1钓鱼网站示例1图2钓鱼网站示例2攻击者搭建了多个钓鱼网站，下载时又跳转至多个下载链接，具体如下表所示。表1钓鱼网络地址及恶意安装包下载地址下载的恶意安装包是以“chromex64.zip”命名的压缩包文件。图3下载的恶意安装包压缩包存在两个文件，其中chromex64.exe是一个文件解压程序，另一个是正常的dll文件，但文件名以日月年格式命名，疑似恶意程序更新日期。图4恶意安装包中的文件chromex64.exe运行后将默认在C:\Chr0me_12.1.2释放文件。其中包含旧版本Chrome浏览器相关文件，由于该软件不是正常安装，导致浏览器无法正常更新。图5安装程序释放的文件同时会解压程序在桌面创建快捷方式，但快捷方式中实际初始运行的是本次活动投放的恶意文件，携带参数运行，不仅启动自身，还启动Chrome浏览器进程，以掩盖该恶意快捷方式功能。图6伪装的Chrome快捷方式对应路径文件如下，采用dll侧加载（白+黑）形式执行。图7实际投放的恶意文件在内存中解密并执行shellcode，该shellcode实质为dll格式的Gh0st远控木马家族变种。图8内存中的Gh0st远控木马该dll加载后，连接C2地址duooi.com:2869，其中的域名是2025年2月19日注册的，目前最新样本主要请求该域名。图9连接C2地址基于情报关联域名解析的IP地址，发现攻击者基于任务持续注册域名，并硬编码至加密的shellcode文件中，部分旧有域名也更换IP地址，样本分析期间所有域名又更换了两次解析IP地址。表2C2域名变化样本对应的ATT&CK映射图谱图10技术特点对应ATT&CK的映射ATT&CK技术行为描述表如下。表3ATT&CK技术行为描述表感染规模通过监测分析发现，国内于2025年4月23日至5月12日期间，“游蛇”黑产团伙使用的Gh0st远控木马日上线肉鸡数最高达到1.7万余台，C2日访问量最高达到4.4万条，累计已有约12.7万台设备受其感染。每日境内上线肉鸡数情况如下。图11每日上线境内肉鸡数防范建议请广大网民强化风险意识，加强安全防范，避免不必要的经济损失，主要建议包括：（1）建议通过官方网站统一采购、下载正版软件。如无官方网站建议使用可信来源进行下载，下载后使用反病毒软件进行扫描并校验文件HASH。（2）尽量不打开来历不明的网页链接，不要安装来源不明软件。（3）加强口令强度，避免使用弱口令，密码设置要符合安全要求，并定期更换。建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令。（4）梳理已有资产列表，及时修复相关系统漏洞。（5）安装终端防护软件，定期进行全盘杀毒。（6）当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。相关IOC样本MD5：A1EAD0908ED763AB133677010F3B9BD7ED74A6765F2FFEE35565395142D8B8B410FAC344D2F74D47FF79FE4A6D19765EIP：104[.]233.164.13161[.]110.5.21137[.]220.131.139137[.]220.131.140DOMAIN：hiluxo[.]comtitamic[.]comsimmem[.]comgolomee[.]comduooi[.]comsadliu[.].comURL：http[:]//google-chrom.cnhttps[:]//google-chrom.cnhttps[:]//chrome-html.comhttps[:]//am-666.comhttps[:]//chrome-admin.com/https[:]//zhcn.down-cdn.com/chromex64.ziphttps[:]//cdn.downoss.com/chromex64.ziphttps[:]//oss.downncdn.com/chromex64.ziphttps[:]//cdn-kkdown.com/chromex64.zip广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，亚汇网所有文章均包含本声明。