关于“游蛇”黑产攻击活动的风险提示

主要观点总结

本报告由国家互联网应急中心（CNCERT）与安天科技集团股份有限公司共同发布，关于“游蛇”黑产团伙的攻击活动。该团伙通过搜索引擎SEO推广手段，伪造Chrome浏览器下载站，诱导用户下载恶意安装包，植入远控木马，实现远程操控和敏感数据窃取。其传播恶意文件变种多，攻击目标涉及广泛。

关键观点总结

关键观点1: “游蛇”黑产团伙活动频繁，采用搜索引擎SEO推广手段，伪造Chrome浏览器下载站，迷惑用户下载恶意安装包。

用户一旦误信并下载恶意安装包，游蛇远控木马便会植入系统，实现远程操控和敏感数据窃取。该团伙主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件。

关键观点2: “游蛇”黑产团伙每日上线境内肉鸡数最多已超过1.7万，攻击活动自2022年下半年开始至今，涉及国内大量用户。

该团伙传播的恶意文件变种多、免杀手段更换频繁，攻击目标涉及行业广泛，其C2日访问量最高达到4.4万条，累计已有约12.7万台设备受其感染。

关键观点3: 防范建议包括通过官方网站下载正版软件，不打开来历不明的网页链接，加强口令强度，及时修复系统漏洞，安装终端防护软件等。

当发现主机感染僵尸木马程序后，应立即核实主机受控情况和入侵途径，并对受害主机进行清理。