文章总结: 文档深入剖析了银狐钓鱼团伙通过SEO投毒、社交伪装及邮件定向实施攻击的手法,并介绍了太乙Sec实验室升级的AI智能体,该工具新增银狐专项预警与域名IP自动化研判功能,可实时识别威胁类型,有效提升反诈防护能力。 综合评分: 85 文章分类: 社会工程学,威胁情报,产品介绍,安全工具,安全意识
警惕年末银狐钓鱼|套路再多,也敌不过智能体预警
原创
大荒Sec 大荒Sec
太乙Sec实验室
2026年2月5日 14:05 江苏
免责声明:本公众号 太乙Sec实验室所提供的实验环境均是本地搭建,仅限于网络安全研究与学习。旨在为安全爱好者提供技术交流。任何个人或组织因传播、利用本公众号所提供的信息而进行的操作,所导致的直接或间接后果及损失,均由使用者本人负责。太乙Sec实验室及作者对此不承担任何责任
随着网络钓鱼技术的迭代升级,银狐钓鱼作为隐蔽性强、针对性强、危害极大的新型反诈威胁,正逐步瞄准个人资金安全、企业信息资产,通过仿冒官方域名/IP、诱导性传播、恶意程序捆绑等套路,实施账号窃取、资金诈骗、木马植入等攻击行为,带来了不可预估的财产损失与信息泄露风险。为筑牢反诈安全防线,提升威胁预警与研判效率,我们正式优化AI智能体功能,新增银狐钓鱼专项预警能力,实现反诈威胁情报自动化研判,全方位守护您的信息与资金安全!
一、搜索引擎 SEO / 竞价投毒(核心入口)
“银狐” 团伙近期攻击活动显著加剧,核心利用 SEO 竞价与权重优化技术实施精准投毒。其核心手法为:批量注册仿官方域名搭建伪下载站,通过付费推广占据搜索引擎结果高位;将远控木马与Todesk、Chrome等正版安装程序捆绑,生成恶意安装包。用户执行安装后,木马会通过静默执行机制完成植入,实现持久化驻留与远程控制,严重威胁用户数据安全与设备可控性。
https://www.to-desk.cn/download.html
这个Todesk钓鱼链接排名比官方都要高
常见银狐钓鱼程序执行流程
二、社交平台链路伪装传播(内部扩散)
-
即时通讯群传播
:控制已感染主机,在微信 / 钉钉 / 企业微信群内发送钓鱼链接 / 压缩包,伪装成 “补贴申领.zip”“发票明细.rar”(常附解压密码如 “123”),内藏
xxx.exe恶意程序。 -
短链接 + 紧急话术
:用
https://t.cn/xxx等短链接隐藏真实域名,搭配 “【紧急】VPN 更新需今日 18 点前安装”“财务对账表请点击下载” 等话术,诱导快速点击。 -
二维码钓鱼
:在钓鱼文档中嵌入仿支付宝 / 官方系统的二维码,解码后为挂马网站或钓鱼页面,诱导扫码填写银行卡、短信验证码等敏感信息。
-
三、钓鱼邮件定向投递(政企精准攻击)
-
发件人伪造
:伪装成 “企业 IT 部”“税务局”“合作供应商”,邮箱显示为
[email protected]等看似正规的地址,实际为伪造账号。 -
附件 / 链接诱饵
-
附件:双后缀伪装文件(如
2025社保调整表.xls.exe),利用 Windows 隐藏扩展名默认设置,双击后弹出 “文件格式错误” 虚假提示,后台通过regsvr32.exe加载恶意 DLL。 -
链接:嵌入邮件正文的 “官方通知链接”,点击后跳转至仿政务 / 企业系统的钓鱼页,或自动下载木马载荷。
-
为进一步提升用户识别网络安全风险的能力,助力安全爱好者高效开展技术研究与风险排查,我们对网络安全白帽子专家AI智能体进行了全面优化升级!升级后的AI智能体,在原有基础上强化域名&IP自动化研判与溯源功能,新增银狐钓鱼专项预警能力
升级后的AI智能体核心能力升级,不止于基础研判,更能精准应对各类新型网络威胁,具体亮点如下:
- 域名&IP自动化研判与溯源:精准提供IP的地理位置、ASN信息,依据专属判定规则判别IP是否存在恶意,划分风险严重级别与可信度级别;
- 威胁类型精准识别:可快速识别漏洞利用(exploit)、傀儡机(Zombie)、代理(Proxy)、可疑(Suspicious)等各类威胁类型,并标注相关安全事件或团伙标签;
- 全场景安全支撑:支持电子数据取证(合法提取固定电子证据)、网络犯罪溯源(IP/域名/流量追踪)、渗透测试与漏洞修复(检测并修复系统漏洞)、AI风险识别(智能预警异常行为);
- 银狐钓鱼专项预警:针对隐蔽性极强的银狐钓鱼攻击,实现实时监测、精准识别、提前预警
智能体使用教程
对公众号进行提问即可
// 输入格式:yourdomain(查询域名)、ipyourip(查询IP)
https://www.to-desk.cn 威胁情报分析,是钓鱼链接吗 //参考格式
若是遇见bug:思考中,回复“继续”以回答,已发送过“继续”,但未收到反馈,请再次发送“继续”以触发后续响应。请参考下图:输入两次“继续”
### https://www.to-desk.cn 威胁情报分析结论
#### **1. 是否为钓鱼链接?** **目前无证据表明是钓鱼链接**,核心依据如下: - **威胁情报引擎一致未标记**:Virustotal 平台 93 家引擎(含 Google Safebrowsing、Kaspersky 等权威机构)均判定该域名「undetected(未检测到恶意)」,无「malicious(恶意)」或「suspicious(可疑)」标记; - **证书合法性**:该域名启用 HTTPS,证书由 Google Trust Services 颁发,**Subject Alternative Name(SAN)明确包含「to-desk.cn」和「*.to-desk.cn」**(覆盖 www.to-desk.cn),符合正规域名的证书配置规范; - **DNS 配置正常**:域名解析至 Cloudflare CDN 节点(IP:104.21.81.81、172.67.140.229 等),无异常跳转或指向恶意 IP。
#### **2. 潜在风险提示** - **域名新颖性**:该域名**创建于 2026 年 1 月 27 日**(whois 信息显示 creation_date: 1769472000),属于「新域名」,需警惕「新域名用于钓鱼的潜伏期风险」;
可以看出这个钓鱼平台刚刚上线运营没多久
往期精彩回顾
基于Fastadmin框架的涉网平台从渗透测试到电子数据取证一条龙手册
【漏洞预警】核弹级漏洞 React RCE漏洞(CVE-2025-55182)含Poc
【漏洞预警】复现 CVE-2025-32463 Sudo提权漏洞
关注我,了解更多知识,别忘了点赞+在看哦!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:太乙Sec实验室 大荒Sec 大荒Sec《警惕年末银狐钓鱼|套路再多,也敌不过智能体预警》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论