IT 之家 10 月 23 日消息，據(jù)網(wǎng)絡安全威脅和漏洞信息共享平臺今日消息，近日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺（CSTIS）監(jiān)測發(fā)現(xiàn)，攻擊者大規(guī)模操縱 SEO ( 搜索引擎優(yōu)化 ) 排名傳播惡意軟件，造成用戶信息泄露與系統(tǒng)受控。

據(jù)介紹，攻擊鏈始于搜索欺詐誘導，攻擊者偽造高仿釣魚頁面，誘騙用戶點擊觸發(fā)重定向后，由惡意 JavaScript 腳本 nice.js 竊取設備參數(shù)發(fā)送至攻擊服務器。動態(tài)載荷投遞階段隨即啟動，服務器通過兩層 JSON 響應下發(fā)捆綁正版軟件（DeepL 安裝器）與惡意組件（Winos 變種 EnumW.dll）的 MSI 安裝包，該安裝包提權后釋放 55 個碎片文件至 C:ProgramDataData_Xowlls 目錄并激活惡意代碼。

進入反分析規(guī)避階段，惡意軟件（Winos 變種）加載后，會驗證進程身份（非 msiexec.exe 則立即退出），檢測系統(tǒng)時鐘（連續(xù)兩次請求百度的時間間隔，若小于 4 秒則終止），檢查 ACPI 表及桌面文件數(shù)量（識別虛擬機）。檢測通過后，該惡意軟件將 55 個碎片重組為惡意數(shù)據(jù)文件 emoji.dat，并釋放干擾文件 vstdlib.dll（內(nèi)部填充冗余數(shù)據(jù)）。

而持久化植入階段是根據(jù)防護狀態(tài)來選擇潛伏機制，若存在安全軟件，該惡意軟件則劫持文件管理器進程；否則，篡改啟動項偽裝為 "Google 更新 "。最終在執(zhí)行加密攻擊時，該惡意軟件會創(chuàng)建加密憑證文件 venwin.lock（使用 60 秒刷新的動態(tài) AES 密鑰），加密連接 C2 服務器，啟動全方位監(jiān)控（鍵盤記錄、屏幕捕獲、竊取加密私鑰等）。

工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺建議相關單位及用戶立即組織排查，定期離線備份核心數(shù)據(jù)；嚴格核驗軟件域名真實性，杜絕來源不明程序運行；及時修復系統(tǒng)漏洞并阻斷惡意提權；加強員工反釣魚培訓，識別 SEO 欺詐及偽裝啟動項；同步部署終端行為監(jiān)控，全面封堵網(wǎng)絡攻擊風險。

IT 之家附相關 IOC 信息如下：

a32d14f28c44ec6f9b4ad961b2eb4f778077613bdf206327a2afa92a7307d31a

ea59f20b418c9aa4551ac35f8398810e58735041d1625e77d13e369a701e273c

b15b642930f8903f7e8c4d8955347575afd2f2abee2ee2d612ba381442026bfd

2a1ae074a0406de514b3ab03c1747fd43813d8bad9c164f390103a0480f9a6aa

c3afd8224cea7a743a3dea8437ff7ed6f89a62cd8f6787c4f27593faec9fc4cb

66787d80ec42a289030bb080fa1ad596e60bd0db92dc6e1e9d66921ea23ccd0e

deepl-fanyi [ . ] com

aisizhushou [ . ] com

telegramni [ . ] com

wps1 [ . ] com

wws [ . ] c4p11 [ . ] shop

bucket00716 [ . ] s3 [ . ] ap-southeast-2 [ . ] amazonaws [ . ] com

znrce3z [ . ] oss-ap-southeast-1 [ . ] aliyuncs [ . ] com

xiazai1 [ . ] aisizhushou [ . ] io

xiazai2 [ . ] aisizhushou [ . ] io

137 [ . ] 220 [ . ] 152 [ . ] 99

43 [ . ] 248 [ . ] 172 [ . ] 13

202 [ . ] 95 [ . ] 8 [ . ] 47

27 [ . ] 124 [ . ] 13 [ . ] 32