摘要：近期，新型高危木马“银狐”肆虐网络，通过钓鱼邮件、恶意链接等方式渗透企业系统，IM、邮件、浏览器等入口已成社工钓鱼泛滥区。窃取核心数据、加密文件勒索，甚至建立长期隐蔽控制通道，威胁金融、医疗、制造等多行业安全。面对这一“狡猾”威胁，亚信安全提供TrustOne

近期，新型高危木马“银狐”肆虐网络，通过钓鱼邮件、恶意链接等方式渗透企业系统，IM、邮件、浏览器等入口已成社工钓鱼泛滥区。窃取核心数据、加密文件勒索，甚至建立长期隐蔽控制通道，威胁金融、医疗、制造等多行业安全。面对这一“狡猾”威胁，亚信安全提供TrustOne一体化“猎狐”治理方案，事前主动控，事中闭环防，事后稳运营，助企业化“危”为“安”！

1、以诈骗为代表的勒索分支：“银狐”木马

2025年8月12日，上海浦东新区发生一起高度隐蔽的诈骗案件：某公司员工刘女士被冒充高管的诈骗分子通过“飞书”群诱导，向所谓“合作方”转账。事后经警方侦查发现，诈骗者实则是通过远程操控其同事电脑投植木马，冒充内部人员实施诈骗，整个过程如“透明人”作案，极具迷惑性。

影响范围：

截止目前已经超1000家国内头部客户被实施诈骗活动/双重勒索，累计造成经济损失超20亿+。主要针对企事业单位管理、财务、销售等从业人员。

事件分析：

通常将研发的木马病毒伪装成报税工具、电子发票、涉税文件等，通过发送电子邮件、钓鱼网站及微信、QQ 等即时通讯软件传播，诱骗企业人员点击下载，从而实施木马攻击。

一旦被木马病毒入侵，诈骗分子即可对电脑远程监控，进而通过办公文件、聊天记录等信息“精准”分析出企业基本情况和财会、管理、销售等人员信息。

通过远程控制财会等人员的QQ、微信等社交软件，在本人未发觉的情况下，将用于诈骗的账号添加至其好友列表伪装成该企业老板或客户的QQ、微信，编造多种理由要求财会等人员转账汇款，从而实施诈骗。

2、银狐为什么难杀？更新快，变种多样：

一天内多次变种，攻击团伙不断更新模板版本，大大增加检测和防御难度。

文件格式繁杂，擅长伪装：

利用多种常用文件类型进行传播和感染；伪装成常用软件、诱导性文件名，降低防范意识。

免杀方式多，绕过检测：

采用多种免杀技术来躲避安全软件的检测和清除，如白加黑、加密payload、内存加载等。

这些免杀手段使得木马能够在系统中长期潜伏，不被用户或安全软件发现。

攻击手段复杂：

即时通信软件(IM)、钓鱼邮件、钓鱼网站、虚假软件伪装、诱惑点击。

攻击团伙会根据不同IP或时间段，分地分时地发布针对性样本，进行针对性攻击或对抗安全测试分析。

针对特定人群，明确的利益驱动：

企事业单位管理人员、财务人员、销售人员、电商卖家等。

通过钓鱼攻击、伪造软件等手段，诱导受害者点击并执行恶意代码，进而获取其计算机控制权限。

传播量大：

利用社交网络裂变传播。

以「工作汇报」「客户资料」等名义向好友或群组发送伪装文件。

3、银狐木马攻击流程介绍

传播方式灵活多样，利用社会工程学精准攻击：银狐样本通过钓鱼邮件和即时通讯工具等社会工程学的方式，诱骗受害者上钩，利用工作群信任链加速传播。

运用免杀与隐蔽技术，提升检测难度：当恶意样本落盘后，黑客通过基于多次打包，魔改Loader和白加黑的方式，绕过杀毒软件的实时扫描。或利用无文件攻击的手段，释放恶意的CHM文件或者是VBE文件，在内存中加载恶意的shellcode来下载恶意载荷并且执行。

变种速度极快，杀毒有心无力：当代“卷王”版本持续升级，不到一年的时间里，在攻击方式，攻击组件部署方式，恶意样本投递方式上迭代6大版本，每日产生超 200 个变种。

把 “坏东西” 藏在 “好东西” 里

用 “好东西” 的正规身份骗过安检（杀毒软件）

等 “好东西” 正常运行后

再偷偷把 “坏东西” 放出来搞破坏

“坏东西” 是 “按需激活”

不是 “主动暴露”

4、传统防护手段为什么无法有效应对银狐？

传统防护是 “守着已知的门防已知的贼”，而银狐是 “换着衣服、走用户开的门、在屋里隐身作案的贼”，二者的对抗不在一个维度，自然难以应对。

既然银狐木马很难杀

我们应该如何正确绞杀银狐木马？

5、亚信安全TrustOne一体化防护手段

关上 “人为大门”不让银狐进来

薄弱点全面排查，堵缺口+补缺口+固缺口

构建入口防线

实现事前关口前移+自动化防御

识破”免杀伪装“不让银狐得手

有效识别后缀伪装、图标伪装、

内存专项检测等高对抗攻击手段

银狐威胁终端一键处置、

可视化溯源彻底根除

亚信安全新一代终端安全解决方案

TrustOne

让高级威胁无所遁形

来源：亚信安全