您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给又田
发送

0

软件内嵌广告遭攻击 上万电脑被安装Steam游戏盗号木马

本文作者: 又田 2018-11-26 10:24
导语:通过病毒代码分析,发现这起挂马事件的始作俑者,会检测受害电脑IP,如果位于北京上海广东山东浙江五省市,就会停止进一步产生危害。

雷锋网宅客频道消息,据腾讯御见威胁情报中心监测发现某输入法软件及某网吧管理软件内嵌的广告页面遭遇网页挂马攻击,这些软件启动时,会自动打开内嵌的广告页面。

盗号木马团伙使用黑客技术精心构造了含漏洞攻击代码的广告(漏洞编号:CVE-2018-8174)。随着广告页面呈现,漏洞攻击代码被触发,更多恶意软件被下载安装。包括其他木马下载器、Steam盗号木马、广告刷量木马。 

相关数据表明,受挂马影响的电脑超过5万台,其中有大约20%(即1万余台电脑)被安装多个盗号木马、广告刷量木马,以及木马下载器。

具体攻击过程:

受挂马攻击的软件在请求广告时会访问挂马广告页面

挂马URL:hxxp://jx2.yknszc.cn/cn2/;www.hftg4j.cn:2002/index.html

软件内嵌广告遭攻击 上万电脑被安装Steam游戏盗号木马

该广告页面中被嵌入了恶意脚本代码,代码通过ASCII编码,解码后内容为嵌入一个iframe,指向www5.hpx0.cn:2005/hpx02005.html(另一个受影响的软件会指向hxxp://www6.hpq0.cn/hpq02006.html)

软件内嵌广告遭攻击 上万电脑被安装Steam游戏盗号木马

www5.hpx0.cn:2005/hpx02005.html中同样是一段ASCII编码的脚本,解码内容后发现其中包含CVE-2018-8174漏洞利用代码,该漏洞影响多个版本的IE浏览器以及使用了IE内核的应用程序。

广告模块内置的IE浏览器在访问挂马页面时,触发漏洞执行了恶意代码。

软件内嵌广告遭攻击 上万电脑被安装Steam游戏盗号木马

▲恶意脚本代码

软件内嵌广告遭攻击 上万电脑被安装Steam游戏盗号木马

▲CVE-2018-8174漏洞利用代码

软件内嵌广告遭攻击 上万电脑被安装Steam游戏盗号木马

漏洞触发后执行hxxp://www.mini00.com:8888/006.hta,该脚本通过powershell.exe继续下载和执行hxxp://www6.hpq0.cn:2006/2006.exe

有意思的是,通过病毒代码分析,发现这起挂马事件的始作俑者,会检测受害电脑IP,如果位于北京上海广东山东浙江五省市,就会停止进一步产生危害。

对于用户来说不必恐慌,只需及时安装操作系统补丁即可。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说