万能压缩/起点PDF阅读器等内置后门程序 可肆意操纵电脑并窃取QQ登录信息
火绒安全实验室日前发现多款软件存在后门程序,其开发商利用后门程序窃取用户浏览记录并盗窃 QQ登录信息。
这些后门程序通过云控平台可随时更新甚至可以直接远程操纵用户电脑,一旦安装后用户的隐私安全便不复存在。
存在后门程序的包括万能压缩、起点PDF阅读器、迷你看图王、新速压缩、直购助手等等多个不知名的桌面软件。
分析还发现这些软件包含的后门程序和相关行为具有同源性,这表明背后的攻击者极有可能是同一个黑灰产团伙。
蓝点网查询发现上述软件多数都是企业主体开发的,例如万能系列软件是上海嵩恒网络科技股份有限公司开发的。
而这些软件都直接携带后门程序,后门程序被加载后即可连接到云控服务器并接收其开发商通过服务器下发指令。
火绒工程师发现这些后门程序会投放间谍木马,用于收集用户浏览记录的同时还会利用 QQ登录凭证窃取信息等。
值得注意的是间谍木马会侧重于收集用户访问的投诉类网站和财经类网站,而且收集的也是详细的网页地址信息。
监测并收集用户访问的投诉类网站可能是担心用户发起投诉,而收集财经类网站则很有可能是用来进行投资推销。
这些间谍木马收集的财经网站信息包括东方财富网、同花顺财经、财联社、新浪财经、腾讯财经、凤凰财经等等。
通常访问这些网站的都是股民等投资者,而间谍木马会盗取QQ信息来收集诸如用户年龄/性别和生日等隐私数据。
因此这很有可能是专门针对股民发起的攻击,通过间谍木马收集有投资倾向的用户再收集信息进行针对性的推销。
我们知道监管部门日前对非法投资荐股类保持高压态势,这些所谓的股神们或许需要更隐秘的渠道来推销拉人头。
火绒工程师进行分析后发现这些间谍木马具有同源性因此背后可能是同一个团伙,不过这些软件开发商有所不同。
例如万能压缩系都是上海嵩恒网络科技股份有限公司开发,而新速压缩是四川智领时代网络科技有限公司开发的。
迷你看图王和淘购助手是四川悠闲的熊猫网络科技有限公司开发,该公司与智领时代地址很相近应该是有关联的。
但与崇恒网络没有关系,崇恒网络的大股东是新三板某家上市公司,与四川这两家公司并未存在投资之类的关系。
蓝点网猜测间谍木马极有可能是某个第三方公司开发,并通过这几家公司的垃圾软件进行推广用来窃取用户隐私。
这家第三方公司应该是专门从事黑灰产的公司,或许是通过收集窃取股民和投资者的资料再出卖给非法荐股团伙。
在网上搜索这些垃圾软件也可以看到相当多的内容是求助如何卸载的,这些软件本身也是通过其他渠道捆绑安装。
目前火绒安全已经直接查杀这些病毒,曾安装过或现在正在使用这些软件的用户建议下载火绒安全进行全盘查杀。