近期，一种新型银狐木马变种正在企业网络中悄然传播。与以往广撒网的钓鱼攻击不同，此次攻击者精准利用了职场中普遍存在的焦虑心理——将病毒伪装成“违纪名单”“裁员补偿方案”“离职面谈通知”等极具诱惑力的人事相关文件，诱导员工主动点击。

伪装能力升级：普通用户几乎无法肉眼辨别

据网络安全监测分析，该变种在文件图标上做了精心伪装。攻击者将恶意文件图标设计为文件夹样式或PDF文档样式，文件名通常包含“辞退”“补偿金”“违纪通报”等敏感字样。当文件出现在微信、钉钉、邮件或U盘传递等场景中时，普通员工极易将其误认为是正常的人事行政文件。

“即便是有一定安全意识的员工，在面对‘裁员补偿’这类与自己切身利益相关的文件名时，防范心理也会显著降低。”安全研究人员指出，这正是该木马当前传播成功率较高的核心原因之一。

技术隐蔽性极强：寄生IE目录，利用系统信任机制

一旦受害者双击该伪装文件，木马并不会立即显现异常行为。分析显示，该变种运行后会主动潜伏至Internet Explorer浏览器目录中，利用IE作为系统组件的先天信任地位，降低被安全软件重点监控的风险。

其主要载荷通过一个合法的白文件——installer.exe 来加载恶意DLL。这种“白加黑”的手法借助了操作系统对签名正常或行为正常的文件的信任机制，从而绕过传统杀毒软件的行为检测与文件扫描。

这意味着，在木马执行恶意操作的初期阶段，终端上可能没有任何告警，安全产品也很难将其与正常的系统或软件行为区分开来。

危害呈连锁反应：从窃密到变成诈骗跳板

成功植入后，攻击者能够实现对受害者电脑的远程控制。常见危害包括：

• 窃取敏感信息：包括浏览器保存的密码、聊天记录、内部文件、财务数据及员工个人信息；

• 充当攻击跳板：被控制的终端会被用于向内网其他系统发起攻击，或作为发送钓鱼邮件、实施电信诈骗的中转节点；

• 扩大企业损失：一旦人事、财务或高管终端被控，可能导致批量员工数据泄露、内部资金被转移或商业机密外流。

安全专家强调，这类木马的连锁危害往往超出单台终端的损失。一台被控制的人事部门电脑，可能成为攻击者撬动整个企业内网的支点。

企业防御建议：重点排查人事与行政终端

鉴于该木马主要伪装成人事相关文件，人事部门、行政部、财务部及高管助理等频繁处理内部名单和薪酬文件的岗位，应作为排查重点。安全团队建议采取以下措施：

1. 终端排查：检查IE目录（如C:\Program Files\Internet Explorer\）是否存在可疑新生成的可执行文件或非签名DLL；

2. 行为监控：关注installer.exe等常见白进程是否存在异常加载行为；

3. 员工教育：明确告知员工，公司不会以“违纪名单”“裁员补偿明细”等文件作为正式通知的附件直接发送，收到此类文件应先向人事部门通过内部渠道核实；

4. 权限收紧：减少普通终端对IE目录的写入权限，加强对白进程加载DLL的行为审计。

当前该变种仍在持续传播，建议各企业及时更新终端安全策略，并对近期接收到异常人事文件提醒的终端进行专项检测。