文章总结: 文章以群友感染银狐病毒事件切入,分析了针对安全从业者的精准攻击与商业远控软件滥用问题,指出当前防御体系滞后。随后复盘刷单诈骗流程,揭示了黑产上下游分工及利用表情包绕过检测的技巧,并提及微信风控的快速响应。最后展示了大量谷歌钓鱼网站样本,指出其设计优势。整体内容为后续大规模恶意站群分析做铺垫,具有较强的实战价值。 综合评分: 78 文章分类: 恶意软件,威胁情报,社会工程学,实战经验,安全意识
从某群友感染银狐病毒说起
云下信安
2026年2月24日 10:55 上海
以下文章来源于不会告诉你 ,作者陆茜
不会告诉你 .
别人不会告诉你的….
前言
当你看到一只老鼠,我就看到了这个世界
我们必须消灭老鼠,在田地被雪覆盖前
我们翻开田地,让狗杀死里面的老鼠
每当老鼠被杀时,让我感到很治愈
可惜我没有杀你,在我们第一次见面时
一只老鼠
某个周六下午14:29,某个安全群中突然出现一条群发消息。
看到“群主会发百元红包”,我立刻扫码加入群里,静静等待群主发红包。
看到这条消息,在我的脑海中已经出现了一条完整的黑色产业链,我们就当成银狐病毒来分析
(反正银狐最有名,出了事就说是银狐准没错,记住上面这个图以后会考)
下面是初步分析的结果:
1、受害者是安全工程师,具有一定的防护能力 – 攻击者充满挑衅
2、群发时间为周六,并且是上厕所离开的几分钟微信被远程控制了 – 进行了长期踩点,精准抓住机会
3、杀毒软件被关闭了 – 端上对抗能力
4、远控软件为广泛加白的商业软件 – 无法进行检测其行为
5、通过人工远程控制,不断发信息到各种群里 – 扩散速度快
6、感染方式为代理服务器被黑 – 以同样方式被黑的还有一群人
得出结论:操作系统、杀毒软件、微信并没有对这种行为进行防护,防御体系落后于攻击流程,并且中毒后只能重装系统。
一群老鼠
加入”聊天交友群“后开始收集信息,群里一共149人。
果然在第二天上午开始了抢红包活动,不过只赚了6块钱,有些难过 🙁
活动开始时间为10:52
第一轮任务为点爱奇艺小程序,实际上这个行为并没有意义;目的在于通过每一轮任务,加大红包的额度,达到最后诈骗的终极目的,是一个典型的刷单诈骗。
可惜群很快涉嫌传播欺诈内容,封群时间 11:00 – MTTR为8分钟
下面继续分析:
7、通过微信公众号中转传播 – 公众号叫吻666
8、群里有很多美女头像,分布在南方为主,大多职业为化妆师 – 这些我是真喜欢
9、微信已经对用户进行了标记,被风控的用户会有安全提示(需要触发) – 标记群中的团伙信息
10、团伙人数较多,分工明确,并且有现成的工具。封群后立刻开始下一轮操作。
11、本次活动以失败告终,花了这么多精力远控、引流、做任务,才拉了100多个人,而且快速触发了风控,可以说是失败中的失败 – 回去好好反思一下
12、上游提供服务和工具,中游提供流量,下游进行变现操作。其中下游是最蠢的,一般只会用工具,很容易被日;以下游为突破口,就可以顺藤摸瓜。
有一点必须特别强调,晴子最厉害的就是对于表情包的应用,必须学会发表情。
可以看到,晴子把所有的流程都已经准备好了,这叫流程标准化。
最关键的一点就是把所有发言都做成表情包,利用表情包来绕过微信检测,这是一个秘诀!表情包里的内容是不会进行检测的,聪明的读者这时候已经想到该怎么做了。
不得不说微信真厉害,通过风控模型进行了识别,8分钟就把群封了。害我没赚到下一个任务的46块,可惜了….
老虎老鼠
姐妹们,一起来看下什么是虚假网站,这是最近收集的谷歌钓鱼网站集合,看看能不能找到一些细微的更改。
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
AA
值得称赞的是,钓鱼网站设计更优雅,并且突出了更快、更安全的特性,有一个更是贴心的添加了cookie隐私保护条例;而真正的官网因为无法直接访问,就没有人知道是什么了…..
很好,现在已经收集了这么多的线索,到安全工程师的反击回合啦。
最后
本文是开胃菜,接下来是史上最大规模的恶意网站群分析,让我们来看看这些站群和背后的人,到底是什么。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:云下信安 《从某群友感染银狐病毒说起》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论