游蛇黑产团伙频繁活动 伪装钓鱼网站致12.7万设备受感染

近期，国家互联网应急中心（CNCERT）联合安天发布了最新安全警告，指出名为“游蛇”的黑产团伙近期活动频繁，并通过伪装钓鱼网站的方式进行攻击，导致约12.7万台设备受到感染。该团伙还涉及其他别名，如“银狐”、“谷堕大盗”、“UTG-Q-1000”等，这让受害者难以揪出真正的攻击源。

攻击手法分析

根据CNCERT的报告，这个黑产团伙善于利用搜索引擎优化（SEO）技术，搭建与官方相似度极高的伪造网站，吸引用户下载恶意的软件包。这些钓鱼网站不仅外观设计精美，而且链接结构复杂，误导了大量网民的正常判断。一旦用户相信并下载安装被伪装的恶意程序，游蛇团伙便能实现远程控制并窃取用户的敏感数据。

尤其值得注意的是，攻击者们在网路上频繁更换域名，以逃避监测和封禁，形成了一套灵活的攻击机制。根据监测，攻击者创建了多达上百个钓鱼网站，其中主要以“Chrome 浏览器”为诱饵。通过这些钓鱼网站，用户往往在毫无防备的情况下，下载后名为“chromex64.zip”的压缩包，而这个压缩包内则隐藏着攻击者的恶意程序。

恶意程序的特点

该恶意软件在解压后，包含两个文件，其中一个是执行程序“chromex64.exe”，另一个可能是正常的dll文件，但名称却采用了日期格式，这种伪装进一步增加了用户的警惕性。运行“chromex64.exe”后，该程序会在C:\Chr0me_12.1.2路径下释放垃圾文件，这些文件往往与旧版Chrome浏览器相关，导致用户的浏览器无法正常更新。

在恶意程序开启后，系统内存中会加载一个变种的Gh0st远控木马，使得攻击者能够完全控制被感染的设备。这个程序还会通过伪装成正常的浏览器快捷方式来掩盖自己的恶意行为。用户在桌面上看到的快捷方式，实际上是对攻势投放的恶意文件，一旦启动，不仅会启动浏览器，还会后台运行恶意软件。

感染规模及动态

根据监控数据，自2025年4月23日至5月12日，“游蛇”团伙的Gh0st远控木马在所有活动期间，最多曾使超过1.7万台设备被感染，C2服务器的日访问量最高达到了4.4万次。累计计算，已感染设备数量已达12.7万台，是近年来黑产活动中极为显著的案例之一。

防范措施建议

在面对此类网络攻击时，专家建议广大网民采取以下防范措施，以确保自己的网络安全和数据隐私：

1. 使用官方渠道：建议用户务必通过官方网站或可信赖的渠道下载软件，尽可能避免使用来历不明的下载链接。同时，对于下载的任何软件，都应使用反病毒软件进行全面扫描，并验证文件的HASH值。

2. 谨慎点击链接：尤其是来自电子邮件、社交媒体以及不明来源的链接，都应避免打开。网络钓鱼往往由此入手，因此用户需要特别小心。

3. 强化密码安全：建议使用至少16个字符的复杂密码，包括大小写字母、数字和符号的组合。定期更换密码、确保不同账户之间不使用相同的密码意思，能有效提高安全性。

4. 定期查看和更新系统：及时对已有的资产进行梳理，检查系统漏洞并进行修复，确保系统的安全。

5. 安装防护软件：在计算机和移动设备上安装高质量的防护软件，并定期进行全盘杀毒，可以进一步降低感染的风险。

6. 感染后的应对：如果发现设备感染了恶意软件，需及时核实受控情况及入侵路径，确保对感染设备进行及时清理，避免扩散。

网络安全问题仍然是一个急需重视的领域。随着网络攻击手法和工具的不断演变，用户应不断提高警惕和防范意识，保护好自身及公司信息的安全。通过合力打击黑产团伙活动，提高公众的网络安全意识，我们才能在网络环境中畅通无阻，安全无忧。