曝光新黑产团伙“黑猫” 大规模仿冒网站窃币挖矿疑与APT组织有关

软件 2024-10-25 04:29

声明：该文章来自（微步在线）版权由原作者所有，K2OS渲染引擎提供网页加速服务。

当你在网上搜索“谷歌浏览器”时，下图中的地址可能会排在某搜索引擎结果的第一名，但你可能想不到，这是个带病毒的假官网！

点击假官网，将下载一个带有“后门”的安装程序，运行程序后，后门将开始一系列网络攻击，包括：探测并窃取虚拟货币钱包，窃取浏览器信息，监听键盘等，如果你并未持有虚拟货币或者无法被窃币，后门就会释放挖矿木马组件，榨干你的最后一点价值。

微步情报局研究发现，这波攻击自7月底开始，累计仿冒网站达20余个，有数据可查的攻击已有数十万次，被攻击行业领域极其广泛，国家有关部门、高校和研究机构、汽车行业、央国企等多个领域均有大量受害单位。该攻击团伙所使用的域名资产中含有大量“heimao-*(三位数字).com”特征域名，微步情报局据此将该团伙命名为“黑猫”。

（一）“黑猫”团伙画像

“黑猫”最早于2022年开始活跃，通过仿冒钓鱼网站投递各类恶意样本，包括“银狐”远控木马、变种Gh0st木马、窃密木马、XMRig挖矿木马等，受害目标为安全意识不足的机构/企业职员，通过远控主机来盗取受害者的虚拟货币并挖矿。“黑猫”的某C2地址和今年上半年APT组织“金眼狗”所使用的远控后门内置的C2地址相同，这表明“黑猫”疑似和“金眼狗”具有一定关联。

（二）“黑猫”常用的攻击手法

“黑猫”的主要攻击手法是通过部署和推广虚假软件下载页面，进行窃密和盗窃虚拟货币、挖矿等攻击行为。“黑猫”投递的样本复杂多样，各种Gh0st魔改远控，银狐木马，窃密软件，XMRig挖矿木马层出不穷，且更新速度很快，投递的loader具备对各大杀软的免杀技术、反虚拟机调试、反沙箱技术，因此攻击成功率极高。

“黑猫”大范围仿冒常见软件的下载网站，并通过SEO（搜索引擎优化）、SEM（搜索引擎竞价排名）等各种手段提高在搜索引擎关键字排行，诱导受害者访问钓鱼页面，并点击下载带有后门的安装程序。

安装程序被受害者运行后，后门程序会窃取受害者虚拟货币钱包，浏览器信息，监听键盘等。如果受害者不具备盗币的可能，“黑猫”会释放XMRig挖矿木马组件进行挖矿。

（三）“黑猫”仿冒的常见软件及下载地址

“黑猫”仿冒的常见软件下载地址，高达20余个，囊括了常用办公软件、虚拟币行情交易平台、VPN/上网加速器等程序。需要警惕的是，“黑猫”具备极强的SEO（搜索引擎优化）技术，不仅会仿冒网站，还会把仿冒网站的地址顶到搜索结果的首页，甚至能常年保持在排名第一第二的位置，因此受害者极易中招。现将2024年“黑猫”仿冒的部分网站地址列表如下。