IT之家 5 月 23 日音讯，国家互联网应急中心（CNCERT）今天公告，CNCERT 和安天联合监测到“游蛇”黑产团伙（IT之家注：又叫“银狐”、“谷堕大盗”、“UTG-Q-1000”等）组织活动频频，攻击者选用搜索引擎 SEO 推行手法，

  用户一旦误信并下载歹意装置包，游蛇远控木马便会植入体系并完成对方针设备的长途控制，盗取敏感数据等操作。经过盯梢监测发现其每日上线境内肉鸡数（以 IP 数核算）最多已超越 1.7 万。

  攻击者建立以“Chrome 浏览器”为钓饵的垂钓网站，诱导受害者从网站下载歹意装置包。

  压缩包存在两个文件，其间chromex64.exe是一个文件解压程序，另一个是正常的 dll 文件，但文件名以日月年格局命名，疑似歹意程序更新日期。

  chromex64.exe运转后将默许在 C:\Chr0me_12.1.2 开释文件。其间包含旧版本 Chrome 浏览器相关文件，因为该软件不是正常装置，导致浏览器无法正常更新。

  一起会解压程序在桌面创建快捷方式，但快捷方式中实践初始运转的是本次活动投进的歹意文件，带着参数运转，不只发动本身，还发动 Chrome 浏览器进程，以掩盖该歹意快捷方式功用。

  该 dll 加载后，衔接 C2 地址，其间的域名是 2025 年 2 月 19 日注册的，现在最新样本首要恳求该域名。

  根据情报相关域名解析的 IP 地址，发现攻击者根据使命继续注册域名，并硬编码至加密的 shellcode 文件中，部分旧有域名也替换 IP 地址，样本剖析期间一切域名又替换了两次解析 IP 地址。

  经过监测剖析发现，国内于 2025 年 4 月 23 日至 5 月 12 日期间，“游蛇”黑产团伙运用的 Gh0st 远控木马日上线 万条，累计已有约 12.7 万台设备受其感染。每日境内上线肉鸡数状况如下。

  请广阔网民强化风险意识，加强安全防备，防止不必要的经济损失，首要主张包含：

  （1）主张经过官方网站一致收购、下载正版软件。如无官方网站主张运用可信来历进行下载，下载后运用反病毒软件进行扫描并校验文件 HASH。

  （3）加强口令强度，避开运用弱口令，暗码设置要契合安全要求，并定时替换。主张运用 16 位或更长的暗码，包含大小写字母、数字和符号在内的组合，一起防止多个服务器运用相同口令。

  （6）当发现主机感染僵尸木马程序后，当即核实主机受控状况和侵略途径，并对受害主机进行整理。