警惕！伪装成中文软件的病毒陷阱威胁用户数据安全

Fortinet中国区技术总监张略

近期，Fortinet全球威胁研究与响应实验室（FortiGuard Labs）发现了一种针对中文用户的复杂SEO投毒攻击。不法分子通过伪造DeepL等知名软件的下载页面，使用高度混淆的恶意代码和多阶段攻击手段实施侵害。Fortinet中国区技术总监张略对该攻击的技术特点和安全建议进行了专业解读。

搜索引擎优化与攻击技术的深度结合

此次攻击呈现出专业化、持久化和高隐蔽性的特点，反映出网络犯罪技术的持续演化。企业需要建立覆盖终端防护、网络监测、威胁情报和应急响应的全面安全体系。

攻击者的创新之处在于对SEO技术的高阶应用。他们注册了与正版网站极为相似的域名（如deepl-fanyi[.]com），并通过SEO优化提高恶意网站在搜索结果中的排名。值得注意的是，攻击者还在HTML源代码中加入特定注释来增强隐蔽性，大大增加了普通用户的识别难度。

技术上，攻击采用多阶段动态加载机制：先通过nice.js脚本获取二级下载链接，最终投放捆绑恶意组件的MSI安装包。攻击者利用Windows Installer的CustomAction机制触发恶意代码，这种"合法包装"的手法有效规避了常规安全检测。

进阶的反检测技术与本土化攻击特征

FortiGuard Labs研究发现，该恶意软件（Winos变体）采用多层级反分析技术：

• 进程验证：仅在msiexec.exe父进程环境下执行
• 时间检测：向百度发送HTTP请求计算间隔时间
• 环境检测：分析桌面文件和ACPI表特征

这些技术表明攻击者已具备对抗主流安全工具的能力。更令人担忧的是，该恶意软件还对360TotalSecurity等中文主流安全软件做了针对性规避，通过资源抢占干扰分析效率，显示出明显的本土化攻击特征。

模块化架构实现灵活攻击

该恶意软件采用"心跳-监控-命令控制"的三重模块化架构：

• 心跳模块：收集系统信息、用户身份和安全软件状态
• 监控模块：跟踪窗口焦点、持久化状态和配置文件
• 控制模块：支持17种远程指令，包括插件注入和键盘记录等功能

攻击者还建立了完善的插件体系，可根据需要动态投放功能模块，如DifferentScreen.bin、Telegram.bin等，展现出高度的组织性和专业性。

网络安全威胁的新趋势

此次事件揭示了三大安全趋势：

1. 攻击本土化：针对特定地区和语言用户定制攻击方案
2. 技术复杂化：从简单攻击发展为完整攻击链
3. 目标经济化：融入加密货币劫持功能谋取经济利益

企业防护建议

面对SEO投毒攻击，可采取以下防护措施：

• 终端用户：仔细核对下载域名，避免可疑链接
• 企业防护：部署AI驱动的FortiGuard威胁防护系统
• 技术措施：强化Windows Installer和注册表监控
• 安全意识：加强员工培训，提高风险识别能力

Fortinet的综合防护方案

Fortinet安全产品已实现对这类攻击的全链路防护。通过FortiGate、FortiEDR等产品的协同工作，可有效阻断从初始渗透到横向移动的整个攻击过程。

Fortinet将持续升级全球威胁情报网络，建议用户启用AI沙箱、应用程序防火墙等高级功能，构建多层防护体系。在数字化转型背景下，企业需要采用更智能的安全解决方案来应对不断演变的网络威胁。