FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

“游蛇”攻击组织，其他安全企业又称“银狐”、“谷堕大盗”等，主要针对国内用户进行攻击诈骗活动。安天在2022年下半年发现和分析游蛇组织的早期活动，包括伪装常用软件下载站和搜索引擎SEO和钓鱼邮件方式实施投放，采取白加黑方式执行，利用即时通讯软件（微信、企业微信等）进一步扩散。其主要获利方式为通过即时通讯软件拉群的方式进行诈骗，同时也对感染主机形成窃密能力，可能进行数据贩卖等其他活动。其传播的恶意文件变种极多、免杀手段更换极为频繁，影响到的个人和行业极为广泛。

安天CERT持续对“游蛇”黑产团伙进行跟踪，发现该组织大量仿冒一系列流行应用程序进行钓鱼传播，尤其Google、Bing搜索引擎挂载游蛇现象已经成为重灾区，伪造站与正版官方网站不仅网站内容上高度相似，在域名模仿上也极为逼真，用户一旦误信并下载恶意安装包，“游蛇”远控木马便会植入系统。实现对目标设备的远程操控，盗取敏感数据和诈骗等操作。

本篇报告梳理了“游蛇”组织近期仿冒WPS网站进行钓鱼传播的案例，目前涉及的案例均存活，通过攻击手法对每种案例进行分类总结，形成WPS软件下载站打假专辑。在日常办公中，用户需警惕各类仿冒软件的钓鱼陷阱，务必通过正规渠道下载和更新软件，仔细核对网址与证书，并安装终端安全防护软件进行系统防护。

安天CERT在日常跟踪“游蛇”组织中发现，该组织大量仿冒WPS软件网站进行钓鱼传播，对仿冒的网站下载下来的文件进行分析和攻击手法提炼，形成四组案例进行分享。

2.1 仿冒WPS网站案例一

通过谷歌搜索引擎搜索"wps 下载"发现，第1页的第3、5、6位均是"游蛇"组织伪造的钓鱼网站。

钓鱼网站页面如图所示，从钓鱼页面上很难进行区分是否为官网页面：

2.2 仿冒WPS网站案例二

通过bing搜索"wps"发现，第1页的第3位是"游蛇"组织伪造的钓鱼网站。

钓鱼网站页面如图所示：

2.3 仿冒WPS网站案例三

通过Bing网页搜索"wps 下载"发现，第1页的第4、7、10、11位均是"游蛇"组织伪造的钓鱼网站。

钓鱼网站页面如图所示：

2.4 仿冒WPS网站案例四

钓鱼网站页面如图所示：

钓鱼网站伪装成可信服务或机构，以窃取用户账号、密码、支付信息或传播恶意软件。它们外观往往逼真，但在细节上存在蛛丝马迹。了解常见特点并掌握快速识别方法，能在第一时间降低被欺骗的风险，保护个人与企业信息安全。

3.1 钓鱼网站域名的常见仿冒特征

1. 替换或增加字符：钓鱼网站通常使用与正规网站相似的域名，正常网站域名通常结构如下：软件名.cn。仿冒WPS的钓鱼网站使用"wps1"、"wps2"、"wpskr"、"kingsoftwps"等类似域名。
2. 添加前后缀：在真实域名前后添加额外的字符，如"cn-wps"、"zhs-wps"、"wps-cn"等类似域名。
3. 域名伪装：利用域名混淆视听，如WPS网站的域名是"cn"，攻击者用"pc-wps.com.cn"等类似域名进行混淆。

3.2 钓鱼网站页面的常见特征

1. 界面模仿："游蛇"组织在搭建网站时，会模仿官方网站进行搭建，所以界面设置会非常相似，几乎与官方网站的页面一致，很难能通过肉眼辨识是否是钓鱼网站。
2. 网页存在其他问题："游蛇"组织搭建网站只能模仿官网首页，不会大成本的对其制作，会出现很多各式各样的问题，如下载按钮响应时间过慢、页面加载不全、跳转链接无效、存在其他非自身产品的下载链接等。

3.3 钓鱼网站下载文件的常见特征

1. 下载的文件名是否正确：在正规官网下载文件的文件名一般是"名称+Setup"，多数是可执行文件。而钓鱼网站下载的文件的文件名大多以不规则的方式进行命名，且下载的是"游蛇木马"多数是压缩包的形式。
2. 下载的文件图标是否正确：钓鱼网站下载的文件的图标与我们常用软件的图标会存在一些出入，多以模仿为主。
3. 下载的文件是否有数字签名：正规网站下载的文件均带有该公司的数字签名，并且证书有效。钓鱼网站下载的文件一般不带有数字签名，少数带有数字签名的文件也与软件公司的不符，且证书属于无效状态。

395F257E1180CE2E7D13B80F716A3EAE
D07B929CE2C5EA59824C170CE6B755E1
850CCA9842EF88BDC9C3D6EF438416BE
D6978123F086D9E6FB825E7D5DB65F16
0B7C574E1503841C7EB2B1C5DB8A6F3C
576F7F40CEA79D1DBDFD4F0C08E79FA4
05946B9848551EB738C9FDF748AF0FF2
www-wps[.]org
www.wps1[.]com
www.wps2[.]com
cn-wps[.]com
zhs-wps[.]com
pc-wps.com[.]cn
wps-zh.com[.]cn
wps-cn[.]net
www.wpskr[.]com
www.kingsoftwps.com[.]cn
wps-cn[.]net
www.bg-wps[.]com
https[:]//wsi.irdlnc.top/Whotefjfsvo-1.67.zip
https[:]//wsi.irdlnc.top/whxsaigwpsbn-1.6.1.zip
https[:]//honing.oss-ap-southeast-1.aliyuncs.com/Wp_s_BG.rar
https[:]//1aad538cdb1479fb6921ff8ed872ab30.linkgodrive[.]icu/WPS_Setup_X64.zip
https[:]//a5f5e388a9033b039abc5145fbed8f6c.ypio.icu/WPS_Setup_X64_2544.zip?skey=a23b0dc3096bb68062343cde2a3eeb6035eea8eecd0de89db8ea6c256afe2b17
hxxps[:]//dowshfgfr5.s3.us-east-005.backblazeb2[.]com/WpsSetup.zip
https[:]//pub-3d7ecf8d8ed94374b9fb10d61138bd72.r2.dev/Wjfrpsl.zip

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）