部分2345网址导航加载盗号木马 窃取用户英雄联盟和WeGame等热门游戏账号

据火绒安全团队监测,周末有黑产团伙利用2345 网址导航向用户投毒,专门用来盗取各个热门游戏的账号。

但这次攻击本身也不是普遍面向用户的范围特别大的攻击,黑产团伙主要选定网吧游戏用户作为攻击的目标。

而周末恰好是网吧游戏用户活跃的高峰期因此大量用户遭到攻击,显然这也是个提前预谋好的恶意攻击活动。

部分2345网址导航加载盗号木马 窃取用户LOL/WeGame等游戏账号

利用2345网址导航进行投毒:

监测发现这次投毒行动仅在2345 网址导航的部分计费号上出现,推测可能这些计费返利号主要是网吧使用。

而携带病毒的广告则是利用2345 网址导航广告模块进行投放的,所以网吧用户很大概率可以遇到这个广告。

看起来很可能是黑产团伙通过2345 网址导航投放广告过审后,再修改广告加载的脚本和内容实现完整投毒。

利用Flash漏洞多数国产浏览器中招:

目前Adobe Flash Player 依然还没死,没死的同时无数电脑上安装的还是旧版本依然还存在各种安全漏洞。

黑产团伙利用2345 网址导航投放病毒广告后直接向用户展示,用户无需进行任何点击就会被加载病毒模块。

用户在全程无感知下输入自己的游戏账号然后被盗号,黑产团伙显然也知道网吧各个软件版本都是非常老的。

而国内用户使用的国产浏览器例如搜狗浏览器、360 浏览器等如果Adobe Flash Player版本太低也会中招。

受影响的Adobe Flash Player 版本在21.0.0.180~31.0.0.160之间,建议用户使用卸载或及时升级版本。

部分2345网址导航加载盗号木马 窃取用户LOL/WeGame等游戏账号

专门针对各个热门游戏:

据火绒工程师分析此次攻击行为专门用来盗取热门游戏账号,  包括Steam平台及腾讯的WeGame平台账号。

此外包括但不限于英雄联盟、穿越火线、地下城与勇士等热门游戏都会被监控并将用户账号上传到服务器上。

黑产团伙不论针对的目标还是盗号的内容都指向游戏,看起来应该是想要盗取用户的账号进行洗号出售获利。

部分2345网址导航加载盗号木马 窃取用户LOL/WeGame等游戏账号

注册数千个域名用于动态域名:

火绒安全团队对黑产团伙进行溯源时发现有两家公司牵涉其中,但无法确定这些公司与黑产团伙是否有关联。

其中名为武汉跃谱腾科技有限公司的账号注册数千个无意义域名,而这些域名部分用来推广壮阳药类的广告。

通常注册如此多的域名主要是用于规避平台的封杀,例如在微信上诱导用户扫码时可以动态分流防止被监测。

巧合的是两家公司注册信息使用的是相同的邮箱,所以也有可能是企业资料泄露后被黑产团伙盗取恶意利用。

更新:据蓝点网查询此黑产团伙至少盗用二十余家公司信息注册域名,这些公司多集中在湖南和湖北两省份。

部分2345网址导航加载盗号木马 窃取用户LOL/WeGame等游戏账号

关于Flash Player的安全建议:

基于此插件的不安全性建议所有用户卸载并不要使用,如果要使用也尽可能的使用谷歌浏览器以确保安全性。

谷歌浏览器内置的Flash Player插件随浏览器版本升级,无需用户额外安装或者安装国内特供的带广告版本

同时也建议用户下载火绒开启主动防御功能防止病毒通过浏览器发动攻击,对于游戏账号尽量开启两步验证。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
new1topgameriplayer
扫码关注蓝点网微信公众号

评论:

8 条评论,访客:8 条,站长:0 条
  1. jmacmillang
    jmacmillang发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 10 64位版 Windows 10 64位版

    早不想用flash了。。。

  2. 0__0
    0__0发布于: 
    Google Chrome 73.0.3683.86 Google Chrome 73.0.3683.86 Mac OS X 10.14.3 Mac OS X 10.14.3

    鸭子哥,你这文章里插了个做真男人的图片

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 73.0.3683.86 Google Chrome 73.0.3683.86 Windows 10 64位版 Windows 10 64位版

      那是说明图片下一段说的数千个动态域名的,这个黑产还在微信上卖这类壮阳药

  3. xiangjack456
    xiangjack456发布于: 
    Sogou Explorer Sogou Explorer Windows 10 64位版 Windows 10 64位版

    2345全家桶真的很垃圾!

  4. 智障大师
    智障大师发布于: 
    Google Chrome 73.0.3683.86 Google Chrome 73.0.3683.86 Windows 10 64位版 Windows 10 64位版

    flash迟早要完,时间的问题

  5. lvbv
    lvbv发布于: 
    Google Chrome 74.0.3724.8 Google Chrome 74.0.3724.8 Windows 10 64位版 Windows 10 64位版

    为啥我的谷歌浏览器加载flash时会提示非指定区域版本,控制面板也卸载了啊~~

  6. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.5.1000 Maxthon 5.2.5.1000 Windows 7 64位版 Windows 7 64位版

    一 定 要 提 高 警 惕 性 啊!

发表评论