您所在的位置: 首頁 >
安全研究 >
安全通告 >
警惕“高仿”軟件安裝程序暗藏釣魚木馬
近日,360數(shù)字安全大腦監(jiān)測發(fā)現(xiàn)多起利用釣魚網(wǎng)站對特定用戶進行攻擊的安全事件。攻擊者通過精心制作的釣魚網(wǎng)站,誘騙目標用戶下載安裝被二次打包的軟件安裝程序。而這些安裝程序則在二次打包的過程中,向其中嵌入了用以竊取用戶隱私數(shù)據(jù)并進行進一步控制的遠控木馬程序,嚴重威脅到廣大政企機構(gòu)的數(shù)據(jù)與財產(chǎn)安全。
360數(shù)字安全大腦在進一步的溯源分析中發(fā)現(xiàn),本次釣魚黑客團伙在部署攻擊的過程中,不僅對釣魚網(wǎng)站的頁面進行了精心的設(shè)計,同時也進行了針對性的SEO優(yōu)化,以此來提高釣魚網(wǎng)站在搜索引擎中的排名。
以虛假的某聊天軟件為例,目前就在某搜索引擎中排在了第二位。
打開這個虛假聊天軟件的釣魚網(wǎng)站后,受騙用戶會被引導下載到一個以“PaoPao.rar”命名的壓縮包,而壓縮包內(nèi)則是名為“PaoPao.msi”的安裝包程序。
該程序在被安裝時,除了釋放正常聊天軟件外,還會釋放遠控木馬,以及在開始菜單目錄添加快捷方式文件(lnk文件),用以指向其釋放AliTask.exe(被利用的合法程序),以此來進一步迷惑用戶并誘導用戶點擊運行。
但AliTask.exe一旦被執(zhí)行,便會被利用去啟動同樣是被安裝包釋放出來的名為fixaliww.exe的程序(自動化工具,本身并非惡意軟件)。
fixaliww.exe被執(zhí)行后則會讀取同路徑下的icafe8.ini配置文件,并根據(jù)配置文件的指令啟動兩個bat文件,把dat文件拼接成完整的可執(zhí)行程序并執(zhí)行。在完成以上部署操作后,木馬會將lnk重新改為指向虛假聊天軟件的主程序以掩人耳目。
最終木馬程序被執(zhí)行后,會從以下URL中下載惡意載荷:
該載荷被下載后會直接在內(nèi)存中被加載執(zhí)行,其功能則是一款典型的遠控木馬——具有關(guān)閉設(shè)備、獲取鍵盤記錄、錄音、截屏、下載程序并運行等一系列常用控制功能。
如果受害機器的QQ正在運行,該木馬甚至可以獲取到一些已登錄QQ的本地信息。通過這些信息構(gòu)造數(shù)據(jù),就可能進一步從網(wǎng)絡(luò)接口中獲取到:已加入的群信息、群好友信息、群成員列表等隱私數(shù)據(jù)。
利用這些信息,攻擊者可以對受害者及其聯(lián)系人發(fā)起釣魚、詐騙等不法行為。當程序獲取到QQ的本地權(quán)限之后,還可以利用受害者的QQ發(fā)布虛假消息,危害及其嚴重。
值得注意的是,該釣魚黑客團伙還精心“高仿”了諸多聊天軟件的官網(wǎng)頁面,進行釣魚誘導。
因此,除了針對性安全防范,360數(shù)字安全大腦建議廣大政企機構(gòu)建立全面的數(shù)字安全防御體系,正確安裝安全防護軟件,以免重要數(shù)據(jù)泄露而產(chǎn)生不可逆的損失。
基于全球15億終端覆蓋所形成的全網(wǎng)視野,360終端安全管理系統(tǒng)是在360數(shù)字安全大腦的賦能下,集成防病毒、漏洞與補丁管理、Win7盾甲、終端管控、桌面優(yōu)化、軟件管理、安全U盤及移動存儲管理等功能于一體,可及時完成對該類病毒木馬的查殺。建議廣大政企機構(gòu)下載使用,盡快構(gòu)建起應(yīng)對高級威脅的終端威脅對抗體系。
來源:360數(shù)字安全