银狐木马年度报告 2025

360安全能力中心反病毒部 目录CONTENTS 第一章 银狐木马概况P001 (一)木马查杀(二)新增变种一、目标人群及攻击范围变化二、获利方式调整三、查杀趋势变化四、攻击地域与时间(一)地域分布(二)时段分布003004005005006007008009 第二章 银狐木马的技术演进P011 二、木马潜伏 五、远控木马与远程控制(一)自制远控(二)利用合法远程工具(三)购买商业远控(四)使用企业管理软件六、获利途径(一)转账诈骗(二)扫码电诈(三)窃取虚拟货币数字资产(四)投递勒索软件七、制作团伙035035037038039040040042044046047 第三章 银狐木马应对方案P050 一、威胁预防(一)识别钓鱼(二)识别群消息二、排查与现场处置三、中招设备排查与木马应急阻断(一)环境排查(二)进程与文件排查(三)驻留排查(四)通信类排查(五)排查原则与应急阻断四、攻击溯源采样五、银狐木马清理(一)常规清理(二)顽固木马清理(三)再次检查(四)安全加固措施051051052052053053057061063065067069069070070071 第一章 银狐木马概况 P010 银狐木马概况 “银狐木马”，又名“游蛇”或“谷堕大盗”等，该名称因为被广泛使用，现已不再指代某一特定家族木马，而是逐渐变为对一类木马程序的通称。其主要是依托钓鱼攻击进行传播的一类远程控制类木马，攻击目标以政企单位用户为主。 目前，银狐木马已成为国内最为活跃的木马家族。根据360安全智能体监测分析发现，该木马家族背后的制作及免杀团伙有超过20个，并且还不断有新的木马团伙加入。过去一年，对国内政企单位发起了数万起攻击，给企业正常经营与生产安全造成了极大的影响。 目标人群及攻击范围变化 目前，“银狐”类木马的传播方式主要集中在三类渠道：即时通讯工具（如：钉钉、微信等）、仿冒网站以及钓鱼邮件。其中，今年通过邮件传播的比例明显下降，而利用聊天工具传播的比例有较明显上升。企业员工中招的初始因素，多为在钓鱼网站下载了银狐木马，尤其是一些“代理”软件，被银狐木马大量利用。而在企业内大肆扩散更多是通过聊天群进行传播。 在攻击目标方面，以往银狐木马更偏向“精准打击”，多针对财务人员、企业管理人员等关键岗位，通过长时间伪装和反复沟通实施诈骗。但今年的情况有所变化，攻击者更倾向于“广撒网”，对受害者身份不再特别挑选。只要感染到一台设备，木马会收集其中的用户信息，并利用受害者已登录的微信等聊天工具继续向联系人发送恶意文件，借此进一步扩散，并可能用来实施诈骗。 二 获利方式调整 在过去，银狐木马案件经常与大型诈骗案件关联，精准化攻击特征显著。往往针对企业财务人员或公司高层发起攻击，动辄造成数十万甚至上百万元的损失。这类案件往往与电信诈骗、公司对公转账操作深度绑定，攻击链条长、准备充分、手法复杂。攻击者通过各类技术手段或直接窃取管理层社交、办公账号，误导财务人员执行大额对公转账。 而今年的情况出现了较为明显的变化。银狐木马更偏向于“广撒网”式的小额诈骗模式，获利规模随感染量同步扩大。攻击者常常紧扣“企业所得税汇算清缴”“清明节放假通知”等周期性工作，或以“领取补贴”“系统退款”“平台违规处理”等名义通过微信/企业微信等社交平台群发消息。也可能通过搜索引擎优化提升钓鱼网页曝光度，引导用户输入电子账户信息、扫描虚假二维码进行小额转账。受害人群也从原来的特定岗位扩散到几乎所有普通用户，任何年龄、职业人群都可能成为目标，甚至开始向海外华人群体延伸。相应地，单笔诈骗金额大幅下降，通常在2000至3000元之间。但因受害设备会被当作“跳板”，通过建群进行传播，导致木马传播量也出现了较大增长，整体危害依然不可忽视。 另外，有一部分通过特定渠道传播的“银狐”木马还具备专门针对数字资产的功能。它们会精准扫描计算机中主流数字货币钱包客户端、交易所登录记录，不仅搜集窃取钱包信息与私钥，还会提取浏览器保存的相关账号密码和Cookies数据，以替换交易地址等方式盗走数字货币资产。这类攻击往往隐蔽性更强，且资金转移后难以溯源。一旦受害者财产被盗，几乎无法追回，风险远高于传统诈骗。 除上述主要获利方式外，银狐木马的获利链条还呈现出多元化、产业化特征。受控设备被感染后，除用于直接诈骗外，还会被当作“跳板机”，转卖或租赁给其他黑产团伙，用于更大范围的网络攻击活动。而木马窃取的企业内部数据、个人隐私信息也会按类别打包，在暗网批量出售给下游诈骗团伙或信息中介，形成“窃密－分类－售卖”的独立变现渠道。更值得警惕的是，其已形成“恶意软件即服务（MaaS）”的产业化运作模式，黑产团队会将攻击工具、钓鱼模板、传播渠道等打包成标准化服务，向其他黑产团伙兜售。这在降低诈骗 门槛的同时，也按攻击效果提成获利。更有甚者，一些银狐木马变种还会作为勒索软件的前置渗透工具，协助后续加密数据勒索，进一步拓宽了获利边界，危害从单一财产损失延伸至数据泄露、系统瘫痪等多维度风险。 三 查杀趋势变化 （一） 木马查杀 2025年以来，银狐木马在对抗频次方面持续提速。其免杀版本更新频率曾达到了分钟级别，一天内可发布数百个各类免杀更新版本，实现快速迭代。整体传播趋势亦有显著上涨，传播态势持续处于高位。在工作日，日查杀量维持在5万次/天以上。在传播高峰时期，其周传播量甚至可达90余万次，根据360安全智能体拦截记录，对银狐木马的单日拦截量高峰期曾超过20万次/天。 钓鱼网站拦截方面，2025年前11个月拦截超过1万个银狐钓鱼站点。尤其在今年7月份，高峰期每天新增数百个银狐钓鱼站点。 2025年银狐木马钓鱼站点拦截量 钓鱼站点拦截量 此外，我们在11月专项治理了一批涉及银狐灰黑产的境外传播站点，这也导致11月的数据量有较大提升。这批被处理的站点约有6000个，主要涉及伪造Telegram 钓鱼、伪造LetsVPN钓鱼、伪造Chrome钓鱼、伪装KuaiLian钓鱼等情况。 （二）新增变种 2025年以来，银狐木马异常活跃，不断涌现出新的变种。根据360安全智能体统计，仅2025年前11月中，就发现了967个新型银狐木马变种，几乎每天都有新家族变种出现。而这一态势在年初的3、4月和年末的9、10月份尤为明显，报告截止时，共计有约3万种新免杀样本被记录。其中12月数据还未完全统计，故数据量较小。 攻击地域与时间 （一） 地域分布 根据360安全智能体统计，银狐木马当前主要攻击目标集中在境内，境外整体攻击量不高，但较往年有所提升。 对我国境内各区域进行细化分析，发现广东省、山东省及江苏省的受攻击量位居前三。根据我们的分析人员研判，国内当前的这种受攻击态势与各地区的人口、经济发达程度、政企单位的设备量都有关系。直观的区域分布图如下： （二） 时段分布 此外，对于银狐这类目标导向明显的木马，我们格外关注其在一天当中各时间段的攻击分布情况。我们对其攻击数据进行了抽样统计，发现以小时对全天攻击量进行分割后，每天上午10点前后及14点至16点的区间范围内，有着非常明显的攻击峰值。这一分布也恰恰与银狐木马主要攻击目标人群的工作时间高度吻合。高峰时，每秒有数百台设备被木马攻击。 2025年前11月，360终端安全产品更新了超156项防护方案，以应对银狐的各类攻击手法。下面，我们将从其攻击技术的角度，对其进行分析。 第二章 银狐木马的技术演进 银狐木马的技术演进 传播方式 银狐木马最让人警惕的，就是它惊人的传播能力。虽然它本身的技术手段并不算复杂，。下面梳理了它一但扩散速度之快、范围之广，可以说是今年最具“感染力”的木马类型之的几种主要传播方式。 （一） IM传播类 通过聊天软件传播是目前银狐木马最常见、最主要的传播方式。它主要依靠微信、钉钉等常用聊天软件进行扩散，并具有以下特点： ●借用受害电脑上已登录的账号传播 银狐木马本身并不具备盗取微信、钉钉账号密码的能力，它只能利用已经在受害者电脑上处于登录状态或开启了自动登录的聊天软件，通过远程控制来进行操作。 ●常见的传播手法 攻击者通常会利用被控制电脑的微信或钉钉，执行“拉群”“点对点私聊”等操作，然后给好友或群成员发送伪装成文档、图片、压缩包的木马文件或钓鱼链接，诱骗更多人点击，从而继续扩散。 而在传播内容的包装方式上，银狐木马团伙也会使用各种技巧来绕过安全软件的检查。今年比较常见的手法主要包括： ●使用带有密码的压缩包 这种方式通常会配合一封“恐吓信”。对方会在信里提供解压密码，并要求用户关闭安全软件，然后解压并打开其中的文件。 不过，通过全网感知能力，360终端安全等产品可以在不依赖密码解密的情况下，直接识别和查杀这类加密压缩包中的木马。 ●使用超大压缩包和格式异常的压缩包 这种方法主要是对抗安全软件的自动扫描。攻击者会发送体积特别大或结构异常的压缩包，导致安全软件无法完全解压或扫描失败，从而尝试躲避查杀。 对于普通用户，这类异常往往不明显，因此更具迷惑性。当前仍有部分银狐木马在使用这类衍生方法。 ●使用包含大量文件的压缩包 类似上一种方法，通过包含大量文件的方式，拖慢安全产品对接收文件的扫描进度，企图绕过查杀。 ●使用微信笔记发送 此类手段同样也是为了避免直接传文件容易被封禁和被安全软件拦截。攻击者又想出了利用微信笔记的方式绕过封禁进行传播的方法。 ●使用图片、文档发送钓鱼信息 攻击者会把钓鱼链接或提示信息放在图片或文档中发送。这些文件本身不是病毒，自然不会被安全软件直接查杀，但一旦用户根据提示操作，就可能进入钓鱼网站或下载安装木马。 ●使用特殊格式文件（如msc，html等） 这类文件在特定环境下可以执行脚本或触发系统功能，攻击者利用它们作为“引导文件”，让用户在打开后，自动执行恶意程序。如果安全软件未对这些格式进行防护，就可能被绕过。 ●利用虚拟硬盘打包 另外，还出现过使用VHD虚拟硬盘格式传播银狐木马的案例。VHD文件本质上是一个可被 Windows 加载的“虚拟磁盘”，攻击者甚至会把木马打包成一个虚拟硬盘，诱导用户双击打开，从而执行恶意内容。 除此之外，攻击者还会使用更多变种技巧，如嵌套压缩、拼接文件等。银狐木马团伙在与安全产品的对抗中不断尝试新方法，只要能躲过检测、成功传播，他们就会不断更新手段。 （二） 网站传播类 利用钓鱼网站，SEO站点，挂马站点传播，也是银狐木马传播上的一大特点。钓鱼站点集中在两大领域，一类是办公相关软件，如：钉钉，WPS，微信电脑版，有道翻译等。另一类是一些灰产与IT管理相关软件，如：Telegram，KuaiLian，LetsVPN，MobaXterm等，这也显示了不同攻击团伙对不同目标人群的倾向。 ●依靠搜索引擎传播 在各大主流搜索引擎的结果中，如今也常夹杂着“银狐木马”的传播内容。这些恶意页面往往通过SEO优化（提高搜索排名）混入正常结果中，甚至有不法分子直接通过投放广告的方式，让带有木马的页面出现在搜索结果的前列。木马页面仿冒极其相似，域名也比较接近，用户稍不注意，就可能被引导访问钓鱼网站，下载带毒的文件。 ●木马挂载地址 由于安全厂商会对木马使用的域名和服务器进行快速封禁，攻击者为了降低成本、提高“存活率”，开始大量转向公共云平台来托管恶意文件。这类平台申请便宜、限制少、难以直接封禁，因此很容易被滥用。目前被“银狐”木马团伙频繁利用的平台包括：阿里云对象存储、百度对象存储（BOS）、123网盘直链、文叔叔等常见的文件或对象存储服务。例如，曾有木马利用百度BOS存储挂载恶意组件，其访问链接类似于：hxxps://jiaoshou.bj.bcebos.com/js19.dbd ●网盘存放 如利用123盘存放木马等 （三） 邮件传播类 在2025年，银狐木马通过邮件传播的数量相比往年有所下降，但邮件依然是其重要的传播渠道之一。此类攻击通常面向企业财务人员，攻击者往往假借“财税稽查