犯罪组织正利用AI强化对 TG 群组投放木马
现有线索显示,攻击者疑似先批量获取目标群组并加入,再依据群组内容方向调整诱饵名称和文件包装形式,例如围绕影视资源、软件下载、工具分享、求职资料、行业文档等主题更换文件名,以提高点击率和投放成功率。与常见的无差别投放相比,这类样本更像是围绕群组语境进行定制传播。攻击者会选择更贴合群组兴趣的名称和图标进行伪装,使恶意文件在聊天环境中看起来更像普通分享内容。这种方式在社交平台、即时通讯群组和半封闭社区中更具欺骗性,也更容易降低用户的第一反应警觉。
在技术层面,这批样本也不是直接运行木马程序的简单方式,而是采用了较完整的多阶段攻击链。外层诱饵负责触发下载和掩护,中间的白文件用于降低告警,内层 DLL 与隐藏载荷则承担实际的控制、注入和通信功能。整体来看,这条链路具备较明显的工程化特征,其背后操作者应具备一定成熟度的投递和对抗能力。
传播层面呈现“批量加群、按主题改名、定向投放”的明显特征。样本内出现的配置结构、注册表痕迹、执行代理方式和网络伪装思路,与公开的 Winos4 / ValleyRAT 样本高度相似。并与银狐木马相关威胁活动存在明显重叠。
—— LoopDNS资讯播报
现有线索显示,攻击者疑似先批量获取目标群组并加入,再依据群组内容方向调整诱饵名称和文件包装形式,例如围绕影视资源、软件下载、工具分享、求职资料、行业文档等主题更换文件名,以提高点击率和投放成功率。与常见的无差别投放相比,这类样本更像是围绕群组语境进行定制传播。攻击者会选择更贴合群组兴趣的名称和图标进行伪装,使恶意文件在聊天环境中看起来更像普通分享内容。这种方式在社交平台、即时通讯群组和半封闭社区中更具欺骗性,也更容易降低用户的第一反应警觉。
在技术层面,这批样本也不是直接运行木马程序的简单方式,而是采用了较完整的多阶段攻击链。外层诱饵负责触发下载和掩护,中间的白文件用于降低告警,内层 DLL 与隐藏载荷则承担实际的控制、注入和通信功能。整体来看,这条链路具备较明显的工程化特征,其背后操作者应具备一定成熟度的投递和对抗能力。
传播层面呈现“批量加群、按主题改名、定向投放”的明显特征。样本内出现的配置结构、注册表痕迹、执行代理方式和网络伪装思路,与公开的 Winos4 / ValleyRAT 样本高度相似。并与银狐木马相关威胁活动存在明显重叠。
—— LoopDNS资讯播报