找工作嗎?未入職先“中毒”的那種。隨著疫情逐漸消退，找工作的人也變得多了起來，而黑客們也開始“伺機而動”，冒充名企招聘人員大肆投放“帶毒”的虛假招聘文件。

　　近日，360安全大腦獨家發(fā)現(xiàn)，有不法黑客團伙打著企業(yè)招聘的幌子，通過微信等通訊工具傳播新型go語言編寫的釣魚木馬。不過廣大用戶無需擔心，在發(fā)現(xiàn)該威脅的第一時間，360安全大腦已率先發(fā)布安全預警，并對此類木馬進行全方位查殺和攔截，保護政企多端用戶數(shù)據(jù)及財產安全。

　　釣魚木馬化身“偽裝者”，藏身“大廠”招聘文件渾水摸魚

　　從360安全大腦捕獲的惡意樣本來看，此類木馬通過使用神似word文件的圖標，以及超長文件名模糊.exe后綴的方式，“變裝”流竄網(wǎng)絡。在發(fā)現(xiàn)該木馬后，360安全大腦對其展開了持續(xù)追蹤，經分析發(fā)現(xiàn)，該釣魚木馬在利用多重方式隱藏自身的同時，還會將文件取名為知名互聯(lián)網(wǎng)企業(yè)招聘情況介紹等名稱，以迷惑不明真相的用戶。

　　值得注意的是，該釣魚木馬由go語言編寫。正如此前360安全大腦數(shù)據(jù)報告中強調的那樣，由于go語言本身的復雜性對于傳統(tǒng)殺軟基于特征碼的查殺有較好的免殺效果，導致越來越多的木馬趨向使用go語言編譯制作。

　　下圖為該木馬在vt上的殺軟報毒情況：

　　釋放“word”的詭詐木馬，監(jiān)控屏幕記錄鍵盤多線放毒

　　分析過程中，360安全大腦發(fā)現(xiàn)，相比于常規(guī)木馬，該木馬會首先從自身文件數(shù)據(jù)里解壓出file.docx，并從環(huán)境變量里找到cmd啟動file.docx。

　　file.docx是一份正常的word文檔，內容和exe的文件名相符合，其作用是讓受害用戶誤以為啟動的只是這份word文檔，起到欺騙用戶從而隱藏自身的作用。其會根據(jù)檢測虛擬機及調試環(huán)境結果判斷是否繼續(xù)執(zhí)行，有異常則立即退出。

　　同時，其會從網(wǎng)絡下載key、nonce、buf文件并使用base64解碼。

　　而后，其將key,none用AES-256-gcm算法解密buff，解出一段shellcode。

　　最后，跳入shellcode執(zhí)行。

　　該shellcode是一個ReflectiveLoader，其作用是在內存中解出自身包含的srv.dll并執(zhí)行其代碼。而srv.dll是用Cobalt Strike生成的一個后門木馬。

　　在執(zhí)行shellcode后會轉入srv.dll部分，srv.dll主體代碼流程如下：

　　該木馬模塊從內存中解密獲取要連接的木馬服務器訪問列表。

　　獲取到列表之后依次循環(huán)遍歷服務器地址，直到成功連接上遠程控制服務器。

　　然后從可連接服務器網(wǎng)址443端口中讀取控制數(shù)據(jù)，根據(jù)遠程下達的不同指令執(zhí)行對應的代碼，該木馬可以執(zhí)行屏幕監(jiān)控、上傳下載文件、鍵盤記錄、運行任意程序等危險操作。

　　全線截殺木馬威脅，360安全大腦賦能防御全場景

　　在網(wǎng)絡安全環(huán)境越發(fā)復雜，木馬等常規(guī)威脅亦趨向多變的背景下，360安全大腦賦能下的新一代防護體系，先后推出了橫向移動防護、軟件劫持攻擊、無文件攻擊等各類應對高級威脅攻擊的體系防護能力，以及RDP爆破攻擊，web應用系統(tǒng)漏洞，webshell攻擊等多項針對服務器的防護能力，持續(xù)為政企多端用戶輸出安全防護力。

　　目前，在360安全大腦的強勢賦能下，360安全衛(wèi)士等系列產品可在第一時間攔截查殺此類木馬威脅。同時，面對詭詐多變的釣魚木馬威脅，360安全大腦針對廣大政企多端用戶，給出如下安全建議：

　　1. 對于個人用戶，可及時前往weishi.#下載安裝360安全衛(wèi)士，強力查殺此類病毒木馬;

　　2. 對于廣大政企用戶，可通過安裝360終端安全管理系統(tǒng)，有效攔截木馬病毒威脅，保護文件及數(shù)據(jù)安全，詳情可通過400-6693-600咨詢了解;而對于小微企業(yè)，則可直接前往safe.online.#，免費體驗360安全衛(wèi)士團隊版，抵御木馬病毒攻擊;

　　3. 對于安全軟件報毒的程序，不要輕易添加信任或退出安全軟件;

　　4. 提高安全意識，不隨意打開陌生人發(fā)來的各種文件，如需打開務必驗證文件后綴是否與文件名符合。

特別提醒：本網(wǎng)內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內處理完畢。