国内大量知名客户端携带恶意脚本篡改网银转账账号
腾讯旗下御见威胁情报中心日前监测到国内超过50余个知名客户端软件携带恶意脚本向用户分发银行木马等。
这些客户端软件内嵌的新闻资讯组件中含有推广广告模块,而广告模块则是调用自国内某垃圾广告联盟资源。
攻击者通过该垃圾广告联盟提交含有恶意脚本的内容,在顺利通过广告联盟审核后堂而皇之的进入知名软件。
分发挖矿/银行/远程控制木马篡改银行转账信息:
攻击者通过恶意脚本再利用IE浏览器2016年的已知漏洞进行感染,受感染的用户均未修补IE浏览器安全漏洞。
该恶意脚本在感染用户后会向用户分发挖矿木马用于挖掘虚拟货币门罗币,然后再通过交易所卖出获得收益。
同时还会分发银行木马:在用户通过网银转账时篡改收款账户信息,用户在不知觉的情况下会转入黑客账户。
最后还会分发远程控制木马:在安装远程控制木马后攻击者可以获得用户电脑控制权,用来窃取资料和控制。
值得注意的是如果有必要的话攻击者可以通过远程控制木马开启用户电脑摄像头以及麦克风等完全监视用户。
除篡改网银转账账号外还会劫持以下支付平台的信息:
支付平台名称 | 域名 |
---|---|
支付宝 | alipay.com |
京东 | jd.com |
苏宁 | suning.com |
折800 | zhe800.com |
美丽说 | meilishuo.com |
国美 | gome.com.cn |
蘑菇街 | mogujie.com |
1号店 | yhd.com |
唯品会 | vip.com |
亚马逊 | amazon.com |
亚马逊中国 | amazon.cn |
网易考拉 | kaola.com |
亚马逊 | amazon.co.jp |
某风播放器、某大师等均被感染:
国内各种软件最常用的广告形式就是所谓的新闻推荐组件,实际上该组件本身就会附带广告模块来产生收益。
在这次攻击中黑客瞄准上述知名软件的新闻推荐模块,制作虚假广告后再通过垃圾广告联盟来投放病毒广告。
用于本身病毒广告通过IE浏览器漏洞进行触发的,因此只要用户打开这些软件就会被感染无需执行其他操作。
目前这次攻击仍然还在持续中,当前腾讯已经监测到至少 20 万名用户被感染,建议用户卸载上述知名软件。
觉得是广告的可以下载其他杀毒软件:用户可下载腾讯电脑管家对自己的电脑全盘查杀防止已经遭到感染了。
不及时修复漏洞的后果:
这次攻击黑客使用IE浏览器在 2016 年出现的安全漏洞,实际上该漏洞在两年前已经被微软发布更新修复了。
而这次被感染的用户全部都是没有及时安装安全补丁的用户,两年前的漏洞至今不修复这些用户也是心大啊。
此外由于国内这些软件都是调用IE浏览器加载新闻和广告模块,因此即便用户不使用IE浏览器亦可以被感染!
这不是国内首次出现通过垃圾广告联盟攻击:
早在2016年3月份国内就已经出现过攻击者通过垃圾广告联盟投放含有病毒的 Flash 模块用来感染终端用户。
当时攻击者制作恶意广告上传到上海米劳传媒的广告平台,该平台通过运营商劫持系统向用户海量投放广告。
而诸如英雄联盟、搜狗输入法等使用旧版未修复漏洞的Flash Player 组件,因此当时有数百万用户遭到感染。