#安全资讯 火绒安全发现针对开发者和运维人士的火绒 FinalShell 钓鱼，黑客注册 FinalShell.cn 仿冒该软件官网提供带毒版本用于窃取敏感信息。安全通过 WHOIS 反查可以看到黑客注册两个 Telegram、发现一个 Let's VPN 相关的针对站诱载带钓鱼域名，至于为何青睐 CN 域名就不知道原因了。运维鱼黑鱼网查看全文：https://ourl.co/108639

FinalShell 是人士个颇为知名的终端连接工具，日前火绒安全发现有黑客团伙注册 FinalShell.cn 域名进行钓鱼，钓导下毒版点网向开发者和运维人员提供带有后门的客构版本用于收集敏感信息。

火绒情报信息显示此次钓鱼活动来自 APT (高级持续性威胁) 组织的建钓 Winnti 团队，该团队自 2009 起活跃至今，本蓝最初主要针对游戏行业发起攻击用于窃取敏感信息和源代码等。火绒

此次 FinalShell 钓鱼网站的安全目标同样是收集信息，火绒安全团队进行分析发现，发现FinalShell 带毒版本会释放后门程序用于收集信息，针对站诱载带涵盖微信和 Telegram 等即时通讯工具。运维鱼黑鱼网

本身这个终端工具的用户基本都是开发者和运维人士，因此如果不慎下载带毒版本则可能会造成信息泄露，如果黑客拿到服务器的 SSH 密码或密钥则可以连接服务器执行更多恶意操作，例如窃取软件源代码、植入病毒、部署勒索软件或进行其他破坏。

值得注意的是 FinalShell.cn 这个域名本身价值不菲，从 WHOIS 信息反查可以看到黑客使用的注册邮箱 a8ddos@gmail.com 还注册多个钓鱼域名，这些域名全部是是 CN 后缀的。

CN 域名注册局也就是 CNNIC 并不免费提供 WHOIS 信息保护，这也是注册信息可以公开查询的原因，至于为什么注册选择 CN 域名或许是因为 CN 域名首年注册价格都比较便宜的缘故。

问题是考虑到部分域名价值不菲拿来钓鱼着实让人有些惊讶，目前谷歌安全浏览服务已经拦截这个域名，所以即便是价值不菲也没太大用处，被拦截后这个域名基本上就是废了。

这个黑客注册的其他钓鱼域名还有 telegram5.cn、letsvpn.cn、teiegrm.cn 等，这些域名全部都是用于仿冒和钓鱼的，在这里也提醒各位通过搜索引擎查找内容时一定要仔细辨别避免访问钓鱼网站中毒。

最后 FinalShell 的官方网站是：https://www.hostbuf.com/