2026年1月15日以来,微步情报局监测到了首个使用AI Agent,实现银狐传播所有环节高度自动化的黑产团伙,三个多星期注册上线了956个钓鱼域名。经过春节期间短暂静默后,该团伙于2月26日又发动了新一轮投毒活动。该团伙利用AI,批量注册常用软件的仿冒/下载域名,自动搭建高仿真的钓鱼页面,并在网站上部署下载链接和AI命名的银狐样本,整个过程几乎不需要人工参与。更专业的是,该团伙会对钓鱼网站访问次数、来源、停留时长进行AI统计分析,计算ROI,针对性调整策略。 在对抗层面,攻击者使用了代理工具进行加密通信。样本运行后会同时释放银狐木马和cloudflared代理工具。银狐会通过cloudflared代理而非自身进程,将加密流量回传至C2服务器,因此只检测反连行为无法定位到真正的银狐进程,必须利用EDR进行串链。目前,微步终端安全管理平台OneSEC、云沙箱S、沙箱分析平台OneSandbox均已支持对这批样本的精确检测。本文为银狐2026年1、2月攻击活动报告。微步情报局还将持续发布银狐月度报告,并第一时间跟进解读相关重大攻击事件。传播过程,全链条AI化AI钓鱼域名从2026年1月15号开始,该黑产团伙使用两个Whois注册邮箱q3al086@xxcloud.ai,ssw200495@qq.com,来批量注册钓鱼域名:日期ChromeWPS快连TeamsClash搜狗浏览器TelegramQuickQ总和2026/1/15002000000202026/1/162002000000402026/1/192202000000422026/1/2020014190000532026/1/2190109000192026/1/221000000012026/1/2320014013000472026/1/242002000000402026/1/2520020020000602026/1/26002000000202026/1/2720200001900592026/1/302801500000432026/2/110021000200512026/2/2181816000200722026/2/4202020001900792026/2/520202900100702026/2/620020000200602026/2/720202000000602026/2/920030000020702026/2/102001000020050可以看到,截至2月10日,已有956个钓鱼域名完成注册,平均每天30+,随后在春节假期保持静默。 从格式上看,这些域名明显是通过自动化生成和仿冒应用相近的字词。 不过随着假期结束,微步情报局监测到黑产邮箱q3al086@xxcloud.ai,于2月26日恢复域名注册,说明该黑产团伙又开始发动新一轮攻击活动。 AI钓鱼页面钓鱼页面也是由AI生成,且不定期进行更换。以Chrome为例,部分钓鱼页面如下。在2026-01-16注册的Chrome相关钓鱼页面(bg-google.com.cn)样式为: 在2026-01-19注册的Chrome相关钓鱼页面(appchrome-google.com.cn)样式为: 在2026-01-20注册的Chrome相关钓鱼页面(cb-google.com.cn)样式为: 截至目前,该黑产团伙仅针对Chrome的仿冒钓鱼页面就用AI生成了12种。这些钓鱼页面样式多样,显著提高了黑产团伙在钓鱼页面上的生成效率。计算投入产出比随着黑产团伙的产业化、专业化程度越来越高,微步情报局还观测到攻击者使用了免费流量统计技术服务提供商51.LA,对钓鱼网站的访问量,访问时长,来源页面等做统计分析。利用这些数据,黑产团伙能够专业化的开发钓鱼网站,计算钓鱼网站的ROI(投入产出比),提升钓鱼攻击的成功率。 且每种钓鱼应用的统计id区分统计:针对clash的统计id:L4rC8E7ISMR5cOyi / L56E7kDSHNvNpfzY针对快连的统计id:L4NNnKpJZ0RcW8GY / L4e6WH4KcxTQEsJO针对Chrome的统计id:L4eCf0G8oXvab2n7 / L4S9pW46ugZ5HLhW针对teams的统计id:L4ixuUuJi0dA2nYF针对WPS的统计id:L5OOMojcmFzavw26针对搜狗浏览器的统计id:L5MbevAiByh9Bosu针对telegram的统计id:L5TOP7tRWKlFL5Su样本代理出网,隐藏核心进程AI随机命名这些钓鱼网站存放下载文件的域名也使用了AI自动生成注册,且迭代更新速度也很快:样本名MD5C2下载域名钓鱼网站Lestsrvpn.zip0333d6a4870a5a2e5a04a9328dde9e7e3d0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0H3N6r3c8F1N6g2)9J5k6h3y4G2L8b7`.`.download.xz-jennykuailian.top1abK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6C8N6h3q4A6j5i4m8D9K9h3q4F1i4K6u0W2j5$3!0E0i4K6u0W2j5$3^5`.Chromeab-x64.zip1e0a7b57d68782073118949898d57e5b4d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0H3N6r3c8F1N6g2)9J5k6h3y4G2L8b7`.`.download.download-google-chrome.com9b3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1k6#2)9J5k6r3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2)9J5k6h3y4F1tsetup-x6493e.zip0d8f838807bedb634d14b0f3a920a0e5d70K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8S2L8h3g2A6i4K6u0W2j5%4W2G2N6b7`.`.download.telegram-desktop.sbsfe8K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6S2K9#2)9J5k6s2c8W2L8r3g2Y4M7X3q4E0i4K6u0W2j5$3!0E0i4K6u0W2j5$3^5`.SougouBrowser16b-x64.zipb2d06cfa165cea02299d33511cf9603c8a1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3!0H3N6r3c8F1N6g2)9J5k6h3y4G2L8b7`.`.download.sougoubrowser.sbsap-sougou.com.cnClnrome8ab5-x64.zip6472d4a091a6e3eea2eb34fa305fc91
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290153.htm
[原创]银狐AI Agent首秀,全程自动传播 | 银狐1-2月总结
428 浏览
0 回复
暂无回复,快来抢沙发吧!