搜個軟件下載竟中招？一場精心偽裝的「中文陷阱」正在威脅你的數據

近日，Fortinet全球威脅研究與響應實驗室（FortiGuard Labs）監測到一起針對中文用户的大規模SEO (Search Engine Optimization) 投毒攻擊活動，涉及仿冒DeepL等知名軟件的虛假網站、高度混淆的惡意攻擊載荷及多階段攻擊鏈。Fortinet中國區技術總監張略深入解讀了此次攻擊的技術特點與安全啟示。

攻擊技術實現與搜索引擎優化深度融合

總體來看，此類攻擊呈現出專業化、持久化和高隱蔽性特徵，反映出網絡犯罪團伙正在不斷優化其攻擊工具和方法，企業應儘快構建覆蓋「終端-網絡-情報-響應」的多維防護體系。

此次攻擊的創新之處首先在於其對SEO機制的精準操控。攻擊者通過註冊與合法網站高度相似的域名（如deepl-fanyi[.]com），並利用SEO插件操縱搜索引擎排名，使惡意網站在搜索結果中獲得靠前位置。此外，這種手法的特別之處還在於，攻擊者甚至在HTML源代碼中嵌入特定註釋信息以增強隱蔽性，這使得普通用户很難辨別網站真偽。

在技術實現層面，攻擊鏈採用多階段動態加載機制。通過nice.js腳本發起初始請求，獲取二級下載鏈接，最終投放將合法應用與惡意組件捆綁的MSI安裝包，並利用Windows Installer的CustomAction機制觸發惡意代碼執行，這種「合法包裝」的策略使安全檢測難度倍增。這種精心設計的流程使得用户在不知不覺中下載並安裝了惡意軟件，凸顯出現代網絡攻擊的高度欺騙性。

反檢測能力顯著提升，針對性對抗安全軟件

FortiGuard Labs深入分析顯示，該惡意軟件家族（被評估為Winos變體）採用了多層次的反分析技術：

進程驗證：僅在父進程為msiexec.exe（Windows Installer）時才執行，有效規避沙箱環境檢測

休眠完整性檢查：通過向百度發送兩次HTTP請求並計算間隔，判斷是否在分析環境中運行

ACPI表檢查：通過檢測桌面文件數量和ACPI表特徵，識別虛擬化環境

這些技術手段表明，攻擊者已具備相當高的技術水平，能夠針對主流安全工具的檢測機制進行精準規避。更令人不安的是，惡意軟件還會針對360TotalSecurity等中文環境常用安全軟件進行鍼對性規避，通過搶佔資源消耗干擾分析效率，這種「本土化」的攻擊策略使得中文用户面臨更高風險。

模塊化架構支持靈活攻擊與持久化控制

FortiGuard Labs分析表明，該惡意軟件採用高度模塊化的「心跳-監控-命令控制」三重架構，展現出相當成熟的攻擊能力。心跳模塊負責持續採集系統信息、用户身份、防病毒軟件狀態和運行進程；監控模塊則專注於跟蹤焦點窗口、持久化狀態和配置文件變化；命令控制模塊支持多達17類遠程指令，包括插件注入、鍵盤記錄、加密錢包劫持和屏幕捕捉等高級功能。

此外，攻擊者還建立了完善的插件體系，可根據需要動態投遞功能模塊。觀察到的插件包括DifferentScreen.bin、Telegram.bin等，這些插件進一步擴展了攻擊範圍，使威脅行為者能夠根據特定目標靈活調整攻擊策略，顯示出攻擊者具備高度的組織化和專業化特徵。

SEO投毒攻擊揭示網絡安全威脅關鍵趨勢

此次攻擊事件揭示了網絡安全威脅的幾個關鍵趨勢：

1. 攻擊本土化：攻擊者越來越擅長針對特定語言和地區的用户設計攻擊策略，中文環境成為重點目標。

2. 攻擊複雜化：從簡單的惡意軟件下載，發展爲包含多層規避、複雜通信和數據竊取的完整攻擊鏈。

3. 攻擊經濟化：加密貨幣劫持功能的加入，表明攻擊者已將網絡安全威脅與經濟利益緊密結合。

企業防護需要體系化升級與主動防禦能力

面對快速演進的SEO投毒攻擊，張略建議採取以下多層面防護策略：

•用户層面：下載軟件時務必覈對域名，避免點擊搜索結果中排名靠前但域名不正規的鏈接；優先使用官方渠道下載軟件。

•企業層面：部署具備AI驅動的威脅防護系統，如FortiGuard Antivirus，可有效檢測並攔截W64/Agent.D31A!tr、W64/ShellCodeLoader.6BFD!tr等惡意軟件變種。

•技術層面：強化端點防護，特別是對Windows Installer和註冊表操作的監控；啟用內容解除和重構服務，防止文檔中嵌入的惡意宏。

•認知層面：加強安全意識培訓，幫助用户識別SEO投毒攻擊的特徵，特別是在中文環境下使用軟件時的域名驗證。

Fortinet一體化安全架構提供全面防護

基於FortiGuard Labs的研究成果，Fortinet已經實現對相關攻擊活動的全鏈路覆蓋檢測，惡意攻擊載荷可被準確識別。通過FortiGate、FortiEDR、FortiClient等產品的協同聯動，可以有效防禦從初始投毒、惡意代碼執行到橫向移動的完整攻擊鏈。

Fortinet將持續協同全球威脅情報網絡和本地安全團隊，為企業提供實時防護更新和事件響應支持。建議用户全面啟用FortiGuard AI驅動沙箱、應用程序防火牆及終端行為檢測功能，構建多層次、主動式的安全防護體系，實現對未知威脅的提前攔截和有效管控。

隨着數字化轉型的深入，網絡攻擊手段也在不斷演進。企業需要保持高度警惕，採用更加智能和集成的安全解決方案，才能在這場持續演進的安全攻防戰中保持主動，確保業務安全和數據保護。Fortinet將繼續致力於為企業提供全方位的網絡安全保障，共同應對日益複雜的網絡威脅環境。

（責任編輯：楊丹丹）