找工作嗎?未入職先“中毒”的那種。隨著疫情逐漸消退，找工作的人也變得多了起來(lái)，而黑客們也開(kāi)始“伺機(jī)而動(dòng)”，冒充名企招聘人員大肆投放“帶毒”的虛假招聘文件。

　　近日，360安全大腦獨(dú)家發(fā)現(xiàn)，有不法黑客團(tuán)伙打著企業(yè)招聘的幌子，通過(guò)微信等通訊工具傳播新型go語(yǔ)言編寫的釣魚(yú)木馬。不過(guò)廣大用戶無(wú)需擔(dān)心，在發(fā)現(xiàn)該威脅的第一時(shí)間，360安全大腦已率先發(fā)布安全預(yù)警，并對(duì)此類木馬進(jìn)行全方位查殺和攔截，保護(hù)政企多端用戶數(shù)據(jù)及財(cái)產(chǎn)安全。

　　釣魚(yú)木馬化身“偽裝者”，藏身“大廠”招聘文件渾水摸魚(yú)

　　從360安全大腦捕獲的惡意樣本來(lái)看，此類木馬通過(guò)使用神似word文件的圖標(biāo)，以及超長(zhǎng)文件名模糊.exe后綴的方式，“變裝”流竄網(wǎng)絡(luò)。在發(fā)現(xiàn)該木馬后，360安全大腦對(duì)其展開(kāi)了持續(xù)追蹤，經(jīng)分析發(fā)現(xiàn)，該釣魚(yú)木馬在利用多重方式隱藏自身的同時(shí)，還會(huì)將文件取名為知名互聯(lián)網(wǎng)企業(yè)招聘情況介紹等名稱，以迷惑不明真相的用戶。

　　值得注意的是，該釣魚(yú)木馬由go語(yǔ)言編寫。正如此前360安全大腦數(shù)據(jù)報(bào)告中強(qiáng)調(diào)的那樣，由于go語(yǔ)言本身的復(fù)雜性對(duì)于傳統(tǒng)殺軟基于特征碼的查殺有較好的免殺效果，導(dǎo)致越來(lái)越多的木馬趨向使用go語(yǔ)言編譯制作。

　　下圖為該木馬在vt上的殺軟報(bào)毒情況：

　　釋放“word”的詭詐木馬，監(jiān)控屏幕記錄鍵盤多線放毒

　　分析過(guò)程中，360安全大腦發(fā)現(xiàn)，相比于常規(guī)木馬，該木馬會(huì)首先從自身文件數(shù)據(jù)里解壓出file.docx，并從環(huán)境變量里找到cmd啟動(dòng)file.docx。

　　file.docx是一份正常的word文檔，內(nèi)容和exe的文件名相符合，其作用是讓受害用戶誤以為啟動(dòng)的只是這份word文檔，起到欺騙用戶從而隱藏自身的作用。其會(huì)根據(jù)檢測(cè)虛擬機(jī)及調(diào)試環(huán)境結(jié)果判斷是否繼續(xù)執(zhí)行，有異常則立即退出。

　　同時(shí)，其會(huì)從網(wǎng)絡(luò)下載key、nonce、buf文件并使用base64解碼。

　　而后，其將key,none用AES-256-gcm算法解密buff，解出一段shellcode。

　　最后，跳入shellcode執(zhí)行。

　　該shellcode是一個(gè)ReflectiveLoader，其作用是在內(nèi)存中解出自身包含的srv.dll并執(zhí)行其代碼。而srv.dll是用Cobalt Strike生成的一個(gè)后門木馬。

　　在執(zhí)行shellcode后會(huì)轉(zhuǎn)入srv.dll部分，srv.dll主體代碼流程如下：

　　該木馬模塊從內(nèi)存中解密獲取要連接的木馬服務(wù)器訪問(wèn)列表。

　　獲取到列表之后依次循環(huán)遍歷服務(wù)器地址，直到成功連接上遠(yuǎn)程控制服務(wù)器。

　　然后從可連接服務(wù)器網(wǎng)址443端口中讀取控制數(shù)據(jù)，根據(jù)遠(yuǎn)程下達(dá)的不同指令執(zhí)行對(duì)應(yīng)的代碼，該木馬可以執(zhí)行屏幕監(jiān)控、上傳下載文件、鍵盤記錄、運(yùn)行任意程序等危險(xiǎn)操作。

　　全線截殺木馬威脅，360安全大腦賦能防御全場(chǎng)景

　　在網(wǎng)絡(luò)安全環(huán)境越發(fā)復(fù)雜，木馬等常規(guī)威脅亦趨向多變的背景下，360安全大腦賦能下的新一代防護(hù)體系，先后推出了橫向移動(dòng)防護(hù)、軟件劫持攻擊、無(wú)文件攻擊等各類應(yīng)對(duì)高級(jí)威脅攻擊的體系防護(hù)能力，以及RDP爆破攻擊，web應(yīng)用系統(tǒng)漏洞，webshell攻擊等多項(xiàng)針對(duì)服務(wù)器的防護(hù)能力，持續(xù)為政企多端用戶輸出安全防護(hù)力。

　　目前，在360安全大腦的強(qiáng)勢(shì)賦能下，360安全衛(wèi)士等系列產(chǎn)品可在第一時(shí)間攔截查殺此類木馬威脅。同時(shí)，面對(duì)詭詐多變的釣魚(yú)木馬威脅，360安全大腦針對(duì)廣大政企多端用戶，給出如下安全建議：

　　1. 對(duì)于個(gè)人用戶，可及時(shí)前往weishi.#下載安裝360安全衛(wèi)士，強(qiáng)力查殺此類病毒木馬;

　　2. 對(duì)于廣大政企用戶，可通過(guò)安裝360終端安全管理系統(tǒng)，有效攔截木馬病毒威脅，保護(hù)文件及數(shù)據(jù)安全，詳情可通過(guò)400-6693-600咨詢了解;而對(duì)于小微企業(yè)，則可直接前往safe.online.#，免費(fèi)體驗(yàn)360安全衛(wèi)士團(tuán)隊(duì)版，抵御木馬病毒攻擊;

　　3. 對(duì)于安全軟件報(bào)毒的程序，不要輕易添加信任或退出安全軟件;

　　4. 提高安全意識(shí)，不隨意打開(kāi)陌生人發(fā)來(lái)的各種文件，如需打開(kāi)務(wù)必驗(yàn)證文件后綴是否與文件名符合。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。