快科技5月23日音讯，今天，国家互联网应急中心官方大众号发布了《关于“游蛇”黑产进犯活动的危险提示》。

  其间说到，近期，CNCERT和安天联合监测到“游蛇”黑产团伙（又叫“银狐”、“谷堕大盗”、“UTG-Q-1000”等）组织活动频频，进犯者选用搜索引擎SEO推行手法，假造Chrome浏览器下载站。

  假造站与正版官网高度类似，极具迷惑性，用户一旦误信并下载歹意装置包，游蛇远控木马便会植入体系，完成对方针设备的长途控制，盗取敏感数据等操作。

  经过监测剖析发现，国内于2025年4月23日至5月12日期间，“游蛇”黑产团伙运用的Gh0st远控木马日上线.7万台设备受其感染。

  据介绍，“游蛇”自2022年下半年开端频频活泼至今，针对国内用户发起了很多进犯活动，以图保密和欺诈。

  该黑产团伙首要是经过即时通讯软件（微信、企业微信等）、搜索引擎SEO推行、垂钓邮件等途径传达歹意文件，其传达的歹意文件变种多、免杀手法替换频频且进犯方针所触及的职业广泛。

  本次监测发现，进犯者建立以“Chrome浏览器”为钓饵的垂钓网站，诱导受害者从网站下载歹意装置包。

  下载的歹意装置包是以“chromex64.zip”命名的压缩包文件，其间存在两个文件，chromex64.exe是一个文件解压程序，另一个是正常的dll文件，但文件名以日月年格局命名，疑似歹意程序更新日期。

  其间包含旧版本Chrome浏览器相关文件，因为该软件不是正常装置，导致浏览器无法正常更新。

  一起会解压程序在桌面创建快捷方式，但快捷方式中实践初始运转的是本次活动投进的歹意文件，带着参数运转，不只发动本身，还发动Chrome浏览器进程，以掩盖该歹意快捷方式功用。

  国家互联网应急中心提示广阔网民强化危险意识，加强安全防备，防止不必要的经济损失，首要主张包含：

  （1）主张经过官方网站一致收购、下载正版软件。如无官方网站主张运用可信来历进行下载，下载后运用反病毒软件进行扫描并校验文件HASH。

  （3）加强口令强度，避开运用弱口令，暗码设置要契合安全要求，并定时替换。主张运用16位或更长的暗码，包含大小写字母、数字和符号在内的组合，一起防止多个服务器运用相同口令。

  （6）当发现主机感染僵尸木马程序后，当即核实主机受控状况和侵略途径，并对受害主机进行整理。