1

“黑猫”团伙画像

近日，微步情报局通过威胁狩猎发现“黑猫”团伙，“黑猫”通过部署虚假的软件下载网站，然后通过各种搜索引擎优化技术提高网站在搜索引擎关键字排行，诱导受害者下载安装，实际下载的安装包含有窃密和盗取虚拟货币的病毒木马。微步情报局已于上周发文揭露“黑猫”的攻击手法和团伙画像：《 曝光新黑产团伙“黑猫”，广撒网窃币、挖矿，中招企业极多！ 》

“黑猫”在该网站上部署带有后门的安装包程序，受害者下载安装后运行后门程序将导致主机失陷。微步情报局通过对攻击者资产进行监控、拓线和溯源，发现这次攻击自7月底开始，累计检出量达数十万次，涉及各个行业领域。

微步情报局经过深入分析，有如下发现：

• 由于该团伙的域名资产中含有大量“heimao-*(三位数字).com”特征域名，微步情报局将该团伙命名为“黑猫”。

• “黑猫”最早能追溯到22年，该团伙部署仿冒的telegram的中文官方网站，并利用SEO技术将网站放置到搜索引擎结果靠前位置，诱导受害者点击下载安装。

• “黑猫”在23年部署AICoin（虚拟货币行情交易平台）虚假的下载网站，并使用搜索引擎关键字竞价排行方式置于Google搜索结果前列，受害者点击后下载了带有后门的样本，导致受害人设备中浏览器插件钱包全链资产遭到清空，其中仅BSC链便有超过16万美金的损失。

• “黑猫”在24年再次活动，部署了Google浏览器虚假下载网站，并通过SEO的方式提高在Bing搜索引擎结果的排行，受害者点击下载后在安装目录中释放挖矿程序，程序远程下载了挖矿配置文件，解析配置文件后连接矿池地址进行挖矿。

• 通过对团伙的资产挖掘，发现“黑猫”擅长使用各种在搜索引擎中提高网站排名的手法，利用该手法来提高部署的钓鱼页面在搜索引擎中的排行，这些钓鱼网站常见部署的主题有：WPS，Chrome，搜狗输入法等，除此之外，“黑猫”也部署针对数字货币行业常用软件：Telegram，AIcoin，Tradingview，Electrum钱包，okx欧易数字货币交易所，Gate交易所，快帆VPN等。

• “黑猫”通过部署的钓鱼网站投递各类恶意样本，样本中存在银狐木马，变种Gh0st木马，窃密木马，以及XMRig挖矿木马，其中木马的C2地址和今年上半年金眼狗所使用的远控后门内置的C2地址相同，这表明“黑猫”疑似和金眼狗组织具有一定关联。

• “黑猫”主要目标还是以赚钱盈利为主，目标之一为安全意识不足的数字货币行业从业人员，通过远控主机来盗取受害者的虚拟货币。同时，该团伙也会部署一些常用软件的钓鱼网站来远程控制肉鸡，通过在肉鸡上下载挖矿组件进行挖矿行为牟利。

• 微步通过对相关样本、IP 和域名的溯源分析，提取多条相关 IOC ，可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。

• 在微步情报局发文后，“黑猫”发现自己已经暴露，于上周下架了多个钓鱼网站，因此部分IOC已失效，但“黑猫”仍然可能卷土重来，微步情报局会密切关注“黑猫”的后续动向。

2

事件分析

2.1 攻击者画像

特点	擅于使用各种提高搜索引擎排行的方式； 部署钓鱼网站手法高超，使用中间下载链接来规避追踪和实时替换下载文件； 以敛财盈利为主，主要目标为盗窃虚拟货币； 当发现主机并无窃取价值，会下载挖矿组件进行挖矿盈利。
平台	Windows
传播方式	部署虚假软件下载页面，并提高钓鱼网站在搜索引擎排行诱导下载
攻击地区	中国
攻击人群	数字货币行业的从业人员； 下载谷歌浏览器，搜狗输入法，WPS办公软件等办公人群。
攻击目的	远控、窃密、盗币、控制肉鸡

2.2 攻击流程

“黑猫”大范围部署虚假软件下载网站，并通过各种手段提高在搜索引擎关键字排行，诱导受害者点击下载，受害者访问钓鱼页面并下载带有后门的安装程序。

通过后门程序窃取受害者虚拟货币钱包，浏览器信息，监听键盘等，如果受害者不具备盗币的可能，“黑猫”会释放XMRig挖矿木马组件进行挖矿。

2.3 攻击特点

“黑猫”擅长使用各种提高搜索引擎排行的方式，通过拓线和溯源分析，发现其钓鱼页面资产常年霸榜各个搜索引擎：

某搜索引擎ToDesk占据第二位置

某搜索引擎Telegram占据第二位置

“黑猫”部署一些办公常用软件，这些钓鱼网站在各大搜索引擎排行靠前，这也导致大量用户受害（部分链接已于上周失效）：

仿冒软件名	钓鱼链接地址	搜索引擎中最高历史排名
Chrome浏览器	http://zh-chrome.com/ https://guge-chrome.com/ https://zh-google.cn/ https://web-chrome.cn https://chromecn.cn https://chromem.cn	第一
Todesk远控软件	https://todesk-zh.com/	第二
WPS办公软件	https://cn-wps.com	第三
爱思助手	https://i4.com.vn/	第四

“黑猫”另一目标为盗窃受害者的虚拟货币，所以针对从事数字货币行业的人群部署钓鱼网站，通过拓线分析，发现一大批该类型的钓鱼网站（部分链接已于上周失效）：

仿冒软件名	钓鱼链接地址	搜索引擎中最高历史排名
爱加速vpn	https://zh-aijiasu.com/ https://ajsvpn.com/	第三
MEXC数字资产一站式交易平台	https://zh-mexc.com/	第七
potato社交软件	https://zh-potato.com/ https://potato-zh.com/	第十一
穿梭VPN	https://cs-vpn.com/ https://zh-csvpn.com/ https://transocks-vpn.com/	第四
飞连vpn	https://fl-vpn.com/	第一
快帆加速器	https://www.qobddze.cn/	拓线获得
okx欧易交易所	https://oeokx.cn/ https://okx-client.cn/ https://zh-okex.cn/	第四
gate交易所	https://zh-gateio.cn/	拓线获得
aicoin	https://www.aicoinzh.com/	第二
tradingview	https://tradingview-en.com/ http://ayicoin.com https://nbxieheng.cn/	第一
telegram（电报）	https://www.telegramef.com/	第一

在对“黑猫”的投递样本分析时，发现“黑猫”投递的样本复杂多样，各种Gh0st魔改远控，银狐木马，窃密软件，XMRig挖矿木马层出不穷，且样本更新速度很快，投递的loader中带有具备对抗各大杀软，反虚拟机调试，反沙箱技术，这体现出“黑猫”具备优秀恶意样本开发能力。

3

拓线溯源

3.1 盗窃虚拟货币

“黑猫”在今年上半年被一家区块链数据分析公司Bitrace披露，存在伪造智能行情工具平台AICoin 的下载页面（https://aicoims.com）。受害人在谷歌浏览器中搜索关键词「AIcoin」，并点击首页展现的第一个链接进入仿冒的官网，下载应用程序后不久，受害人设备中浏览器插件钱包全链资产遭到清空，其中仅 BSC 链便有超过 16 万美金的损失。

图片来源：Bitrace

3.2 挖矿木马投递

“黑猫”在投递XMRig挖矿木马时，将XMRig配置文件放到远程服务器上，木马在运行时进行动态请求获取，此方式可以让“黑猫”在挖矿木马的配置上更灵活，及时调整挖矿木马的配置以及矿池地址：

3.3 历史投递apk样本

在对该远程服务器域名进行拓线分析时，发现其历史上存放众多伪造软件安装的样本：

其中可以发现有一个样本来自钓鱼网站telegram-apk.com中的链接为一个二维码地址：

该二维码链接到telegram-apk.com网站的各个文章地址。

这些文章内容是关于telegram的一些安装使用问题，在文章右下的二维码中包含恶意木马下载的链接：

扫码链接下载文件： https://cdn-down.cdndown.shop/telegram_1119.apk

该钓鱼网站早在22年被“黑猫”注册使用，当时就有安全人员披露该钓鱼网站投递恶意的apk样本：

这也证明了“黑猫”的活动最早能追踪到22年，在22年“黑猫”注册了针对Telegram的钓鱼域名并使用至今。

3.4 投递远控样本

目前使用该域名投递Windows平台远控样本：

目前网站下载链接为：https://www.heimao-131.com/jhpesYW7cW

跳转下载链接地址：https://jsuhuiyutsygbfnljhvdyugvb.s3.ap-east-1.amazonaws.com/TG/_中文版_TG_telegrnai_win10_11_ios_X_64.exe

该样本使用进程注入到svchost.exe中，最终连接C2地址27.124.43.226:28612

3.5 使用银狐远控

在对“黑猫”钓鱼网站进行分析时，发现来自针对爱思助手的钓鱼网站i4.com.vn下载银狐木马：

在该网站下载链接为：https://www.heimao-134.com/4xJSKVzrUX

跳转下载链接地址：https://aisiapp.oss-ap-southeast-1.aliyuncs.com/aisi.msi

该样本通过白加黑手法运行active_desktop_render.dll读取并解密Ensup.log得到Payload载荷，载荷为银狐木马（Winos）4.0的上线模块.dll，最后加载C2配置，链接C2：202.146.220.95:6666/ 202.146.220.95:8888/ 202.146.220.95:8080

3.6 关联金眼狗

在对“黑猫”的样本以及链接C2进行分析时，发现“黑猫”使用的C2：27.124.43.226，在今年上半年为金眼狗所使用，且在8月份关联众多银狐木马：

在今年4月时，金眼狗团伙部署了伪造快连VPN的钓鱼网站（letssvpn.vip），并通过SEO将其放到Google搜索引擎前列，最后下载带有后门程序的安装包Kuaivpn-n-3.msi（dddbd75aab7dab2bde4787001fd021d3），安装该程序释放远控后门，连接在后门中内置编码的C2地址，其中就包含27.124.43.226:15628。

4

样本分析

“黑猫”使用大量不同类型的样本，已知捕获中存在银狐木马，变种Gh0st木马，窃密木马，以及XMRig挖矿木马，下面主要分析其窃密木马和挖矿木马程序：

4.1 窃密木马

Sha256	ac4a64792dff853f0ca7a0898edff72af9078576b7e5e6176adeb0646d915ce5
SHA1	96e3df502ab41461ae2a35257f9b53c6f2c390c7
MD5	f81cba6b341422fe2f0e7bc1a2fc0485
文件类型	ZIP压缩文件
文件大小	47.14 MB (49434432 bytes)
文件名称	todeskx64.zip
文件来源	https://todesk-zh.com/
文件下载链接	https://zhcn.down-cdn.com/todeskx64.zip
文件功能描述	伪装todesk安装程序，在todesk安装目录下存在白加黑恶意组件，在桌面释放快捷方式指向白加黑恶意组件，组件运行后加载解密后续恶意DLL，连接C2并传输虚拟货币钱包，剪切板，键盘，浏览器数据，然后运行todesk软件程序。

详细分析

第一阶段：初始安装程序

样本伪装成ToDesk安装程序，采用Inno Setup进行打包：

安装程序运行后默认在C盘释放，值得注意的是，为了防止覆盖安装，会随机在安装目录上生成乱码后缀：

第二阶段：白加黑利用组件

安装完成后，会在桌面生成快捷方式，但是快捷方式不是直接指向安装程序，而是指向安装目录下的后门程序：

该后门程序通过白加黑执行恶意dll：

通过读取 PerfSringup.gh6u 文件进行解密：

解密之后为一PE文件：

第三阶段：解密dll程序

对其解密木马进行分析

创建互斥体 "FGHGE26CC933CCB05F61F2214C060D532E61DDSF"：

查看注册表是否存在相关配置：

创建相关字符串：

创建相关目录：

通过注册表创建自启动项：

其C2硬编码到代码中，为 simmem.com:2869，远程连接该域名，进行数据传输：

该木马功能为窃取软件，主要窃取加密钱包数据：