Home on May 23 reported that the National Internet Emergency Center (CNCERT) today announced that CNCERT and ANTIAN are jointly monitoring the "Youshou" Black Industry Gang (IT Home Note: Also known as "Silver Fox", "Gu Fallen Thieves", "UTG-Q-1000", etc.) Frequently organized activities, and the attacks are using promotions of promotional engine-engine engine engine-promotions Offer a Chrome browser.伪造的网站与真正的官方网站非常相似，非常令人困惑。当错误的用户和下载恶意安装程序包时，您的遥控器将在系统中种植，并实现目标设备的遥控器，盗窃敏感数据和其他操作。通过监测和监视，在国内市场上在线肉鸡的数量（按IP计数计算）每天超过17,000。攻击活动The Attack用“ Chrome浏览器”作为诱饵建立网络钓鱼网站，该网站刺激受害者下载恶意安装网站上的包裹。图片1网络钓鱼网站1示例照片2网络钓鱼网站2的示例2攻击构建了许多网络钓鱼网站，并在下载时跳入许多下载链接，如下表所示。表1由网络钓鱼网络地址和MALM下载地址安装下载的恶性安装程序包是一个名为“ Chromex64.zip”的压缩软件包文件。图3中下载的恶意安装软件包具有两个文件，chromex64.exe是文件解压缩器，其余的是普通的DLL文件，但是该文件名是在日期，月和年格式中命名的，这将是弱的，这将是程序更新日期。图4恶意安装程序包中的文件Chromex64.EXE将在运行后默认情况下在C：\ CHR0ME_12.1.2中发布。它包含与Chrome浏览器的旧版本有关的文件。由于该软件未正常安装，因此浏览器无法正常更新。图5发布的文件安装程序还将解压缩程序以创建桌面快捷方式，但是快捷方式实际上是该活动沿参数运行的恶意文件，不仅启动了自己，而且还启动Chrome浏览器过程以覆盖恶意的快捷方式功能。图6伪装的镀铬快捷方式的相应路径文件如下，并以DLL侧载荷的形式进行（白色 +黑色）。图7是funnyk的实际用作，该文件已专用于内存，并执行了ShellCode。 ShellCode本质上是DLL格式的GH0ST遥控Trojan家族变体。图8将GH0ST遥控器加载到内存后，DLL连接到C2地址DUOOI.com:2869。域名于2025年2月19日注册。目前，最新的示例主要要求域名。图9连接C2地址是基于智能智能域名解决的IP地址。它注意到，攻击继续根据任务注册域名，并将其按下壳码文件。一些旧的域名也被IP替换为Address，在示例审查期间，所有域名都替换了两次。表2与C2域名更改样本相对应的ATT CK映射图10 affiliatea att CK活动继续向技术活动技术开发的技术朋友继续进行。表3 ATT CK通过监视和分析对表行为行为进行技术提取，发现从2025年4月23日至5月12日，当天使用的肉鸡数量，C2访问的数量最多达到44,000，总计127,000个设备。每天在网上在线的肉鸡数量如下。图11：避免在线日期 - 避免国内肉鸡数量。请增强对风险的认识，加强预防安全性并防止不必要的经济损失。主苏格舞包括：（1）建议通过Officel网站均匀地购买和下载真实软件。如果没有官方网站，建议使用可靠的资源下载它。下载后，使用防病毒软件扫描和验证文件哈希。 （2）尽量不要在未知来源的网页上打开链接，也不要安装来自未知来源的软件。 （3）增强密码强度，避免使用弱密码，密码设置必须满足安全要求，并定期更换。建议使用16位或更长的密码，包括上述字母和较低的案例，数字和符号，同时避免使用许多服务器使用相同的密码。 （4）遵循现有的所有权列表，并立即调整系统相关的弱点。 （5）i-安装终端保护软件，并定期执行遗弃病毒。 。 IOC MD5的相关样本：A1EAD0908ED763AB133677010F3B9BD744444444444444444444444F2FFEE355555395142D8B8B410FAC34444444D2F74D47F47F47FF79FE4A6D19765EIP：104 [。 [。] 110.5.21137 [。] 220.131.139137 [。 http [：] // google- chrom.cnhttps [：] // google-cnhhttps [：] // chome-html.comhttps [：] // am-666.comhttps [： cdn.downoss.com/chromex64.ziphttpave：eptse//oss.downncdn.com/chromex64.ziphttpave：