360雲安全系統日前監測到一起大規模軟件掛馬攻擊事件。受影響軟件包括國內多款視頻播放器,部分輸入法及新聞類客戶端。攻擊團伙通過頁面廣告,向軟件內插入攻擊代碼,進而在用戶設備上植入後門,後續進行勒索、挖礦、軟件推廣等多種惡意操作。目前,360安全衛士單日攔截的掛馬攻擊已達10萬餘次,且攻擊情況還在蔓延,請用戶儘快使用360安全衛士做好防護。
圖1攜帶漏洞攻擊代碼的廣告頁面
受影響的軟件包括暴風影音、風行播放器、SohuNews、萬能看圖王、智能雲輸入法等大量客戶端軟件,360安全衛士今日對該掛馬攻擊的攔截量已超過10萬次。
以暴風影音為例進行分析,暴風影音的廣告頁hxxp://pop.baofeng.net/popv5/html/baofeng/shishangtext.html中插入了一個站長統計頁面hxxp://139.224.225.117/haohao.htm,而該頁面中被插入了指向hxxp://107.150.50.34的iframe標籤,hxxp://107.150.50.34最終會跳轉到hxxp://222.186.3.73:8181/index.html執行漏洞利用代碼。
圖2 廣告頁面被插入鏈接為hxxp://139.224.225.117/haohao.htm的站長統計頁面
圖3 站長統計頁面指向hxxp://107.150.50.34
圖4 hxxp://222.186.3.73:8181/index.html中的漏洞利用代碼
漏洞利用代碼將執行如下圖所示命令,從hxxp://222.186.3.73:8591/[email protected]下載惡意程序到Temp文件夾並命名為winrar.exe執行。
圖4 漏洞利用代碼執行的命令
WinRAR.exe本質上是個Downloader,它會從hxxp://222.186.3.73:8591/QQExternal.exe下載文件到計算機上執行,該程序是個後門程序,會加載惡意驅動並實現持續駐留,後續可能用於往受害者計算機中植入其他惡意軟件。
經分析發現,該掛馬事件與之前國內發生的多起廣告頁面掛馬事件為同一團伙所為,該團伙在去年就曾通過暴風影音廣告頁面進行掛馬攻擊,向受害者計算機中強制安裝流氓推廣軟件。而今年初,該團伙還曾通過同樣的掛馬攻擊往受害者計算機中植入挖礦木馬牟利。
對此類掛馬攻擊,安全專家建議廣大網民及時更新系統補丁,並使用安全軟件防護。目前,360安全衛士無需升級就可全面攔截此類掛馬攻擊。
360雲安全系統日前監測到一起大規模軟件掛馬攻擊事件,受影響軟件包括國內多款視頻播放器,部分輸入法及新聞類客戶端。攻擊團伙向軟件內插入攻擊代碼,後續進行勒索、挖礦、軟件推廣等多種惡意操作,小夥伴們要多多留意,儘快使用360安全衛士做好防護
閱讀更多 互聯網乾貨達人 的文章
