关于防范SEO投毒攻击的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现，攻击者大规模操纵SEO(搜索引擎优化)排名传播恶意软件，造成用户信息泄露与系统受控。

    攻击链始于搜索欺诈诱导，攻击者伪造高仿钓鱼页面，诱骗用户点击触发重定向后，由恶意JavaScript脚本nice.js窃取设备参数发送至攻击服务器。动态载荷投递阶段随即启动，服务器通过两层JSON响应下发捆绑正版软件（DeepL安装器）与恶意组件（Winos变种EnumW.dll）的MSI安装包，该安装包提权后释放55个碎片文件至C:\ProgramData\Data_Xowlls目录并激活恶意代码。随之进入反分析规避阶段，恶意软件（Winos变种）加载后，会验证进程身份（非msiexec.exe则立即退出），检测系统时钟（连续两次请求百度的时间间隔，若小于4秒则终止），检查ACPI表及桌面文件数量（识别虚拟机）。检测通过后，该恶意软件将55个碎片重组为恶意数据文件emoji.dat，并释放干扰文件vstdlib.dll（内部填充冗余数据）。持久化植入阶段是根据防护状态来选择潜伏机制，若存在安全软件，该恶意软件则劫持文件管理器进程；否则，篡改启动项伪装为“Google更新”。最终在执行加密攻击时，该恶意软件会创建加密凭证文件venwin.lock（使用60秒刷新的动态AES密钥），加密连接C2服务器，启动全方位监控（键盘记录、屏幕捕获、窃取加密私钥等）。

    建议相关单位及用户立即组织排查，定期离线备份核心数据；严格核验软件域名真实性，杜绝来源不明程序运行；及时修复系统漏洞并阻断恶意提权；加强员工反钓鱼培训，识别SEO欺诈及伪装启动项；同步部署终端行为监控，全面封堵网络攻击风险。

相关IOC信息

a32d14f28c44ec6f9b4ad961b2eb4f778077613bdf206327a2afa92a7307d31a

ea59f20b418c9aa4551ac35f8398810e58735041d1625e77d13e369a701e273c

b15b642930f8903f7e8c4d8955347575afd2f2abee2ee2d612ba381442026bfd

2a1ae074a0406de514b3ab03c1747fd43813d8bad9c164f390103a0480f9a6aa

c3afd8224cea7a743a3dea8437ff7ed6f89a62cd8f6787c4f27593faec9fc4cb

66787d80ec42a289030bb080fa1ad596e60bd0db92dc6e1e9d66921ea23ccd0e

deepl-fanyi[.]com

aisizhushou[.]com

telegramni[.]com

wps1[.]com

wws[.]c4p11[.]shop

bucket00716[.]s3[.]ap-southeast-2[.]amazonaws[.]com

znrce3z[.]oss-ap-southeast-1[.]aliyuncs[.]com

xiazai1[.]aisizhushou[.]io

xiazai2[.]aisizhushou[.]io

137[.]220[.]152[.]99

43[.]248[.]172[.]13

202[.]95[.]8[.]47

27[.]124[.]13[.]32