2026-02-17 20:11:46 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 银狐黑产团伙通过搜索引擎广告投放大规模传播恶意软件，伪装成Notepad++等常用工具下载站。攻击者采用延迟加载机制，将恶意载荷与正常软件一同部署但不立即执行，需用户点击快捷方式触发，显著增强隐蔽性以绕过沙箱检测。技术分析确认木马为Gh0st远控变种，C2为oploa.com:2869。文章提供了完整的IOC清单包括钓鱼域名和样本哈希值，建议企业立即在边界封禁相关C2域名，并部署EDR监控、优化沙箱模拟用户行为、限制安装目录权限及加强用户安全意识培训。 综合评分： 88 文章分类： 恶意软件,威胁情报,应急响应,安全运营,漏洞分析

cover_image

搜索引擎广告投毒，银狐黑产如此嚣张！

原创

杨冀龙杨冀龙

神龙叫

2026年2月11日 08:00 广东

最近银狐肆虐，除了钓鱼传播、拉群传播，我们发现他还在通过搜索引擎投广告大规模传播。对技术不感兴趣的直接跳到最后，把里面的C2域名在企业网络边界封禁，即可。

1.1. 搜索发现

国内常用XX搜索引擎搜索技术人员常用的工具notepad++，第一个网站是广告投放网站，居然是一个银狐恶意软件分发站：

第一个点runanjian.bzyinxiao6.com进去：

那个立即下载，下载回来的就是银狐木马病毒。

另外，著名国际搜索引擎搜索“notepad++”,同理。除博客及教程外的第一个下载网站并非notepad++的官方网站：

网站主页：

点击“下载ZIP”跳转至hxxps://github.zh-cns.top/download/notepad-plus-plus/

下载回来的还是银狐恶意软件。

1.2. 分析确认

对上面下载文件分析，压缩包中包含了Notepad++.exe文件：

Notepad++.exe是一个Gentee解压安装包：

安装完成后释放文件到用户指定文件夹,攻击者将恶意载荷释放到notepad++安装目录下：

生成桌面快捷方式，快捷方式指向的文件并不是真正的notepad++,而是恶意加载器E0BW5bSM.exe：

E0BW5bSM.exe使用了攻击者盗用的数字签名，用来伪装成合法的软件：

E0BW5bSM.exe运行后会加载同目录下的libcef.dll，并调用cef_enable_highdpi_support导出函数：

libcef.dll的cef_enable_highdpi_support导出函数的主要功能是：

1、运行notepad++ 2、解密E0BW5bSM.HVU并运行

经过分析确认解密后的木马为Gh0st远控木马家族的变种，属于银狐常用的远控工具之一。连接的C2为oploa.com:2869：

1.3. 扩展拓线

对oploa.com拓线发现曾关联过多个IP，其中31.57.51.149、223.26.63.103等ip关联的域名中有大量是近几个月中集中解析的：

例如223.26.63.103曾关联的域名kimhate[.]com，与之相关联的样本同样为银狐:

1.4. 总结：

银狐在恶意软件攻击技战术上经历了显著转变，从传统钓鱼邮件手段转向更具规模性的产业化传播布局。

过去，该组织主要依赖将恶意木马程序封装在常规软件安装包中，通过静默安装方式在目标系统后台运行，实现初始入侵。这种方式虽然直接，但易被安全分析工具检测，尤其是沙箱环境能快速捕获其行为特征，包括与C2（命令与控制）服务器的通信模式，从而暴露攻击意图。

近期，银狐调整了策略，采用更复杂的下发机制：将最终木马程序及其加载器组件一同部署到目标软件的安装目录下，但仅作为静态文件存在，不立即执行恶意活动。恶意载荷的激活依赖于用户主动点击桌面快捷方式或相关程序图标，触发加载器运行并释放最终木马。这种延迟执行机制显著增强了隐蔽性，因为它绕过了沙箱工具的自动化分析流程——沙箱通常模拟快速启动环境，难以捕捉用户交互行为，从而延缓了C2通联特征的发现。

为应对此类攻击，建议采取以下缓解措施：

‌行为监控强化‌：部署终端检测与响应（EDR）系统，实时监控文件创建和快捷方式操作，识别异常用户交互行为。

‌沙箱优化‌：升级沙箱工具以模拟真实用户操作，包括点击事件，提高对延迟加载恶意软件的捕获能力。

‌权限控制‌：限制软件安装目录的写入权限，减少非授权文件下发风险，并实施最小权限原则。

‌用户教育‌：培训用户安全意识，禁止下载来路不明的软件，避免点击来源不明的程序图标，从源头阻断攻击链。