您所在的位置: 首頁 >
安全研究 >
安全通告 >
警惕“高仿”軟件安裝程序暗藏釣魚木馬
近日,360數(shù)字安全大腦監(jiān)測發(fā)現(xiàn)多起利用釣魚網(wǎng)站對特定用戶進(jìn)行攻擊的安全事件。攻擊者通過精心制作的釣魚網(wǎng)站,誘騙目標(biāo)用戶下載安裝被二次打包的軟件安裝程序。而這些安裝程序則在二次打包的過程中,向其中嵌入了用以竊取用戶隱私數(shù)據(jù)并進(jìn)行進(jìn)一步控制的遠(yuǎn)控木馬程序,嚴(yán)重威脅到廣大政企機(jī)構(gòu)的數(shù)據(jù)與財(cái)產(chǎn)安全。
360數(shù)字安全大腦在進(jìn)一步的溯源分析中發(fā)現(xiàn),本次釣魚黑客團(tuán)伙在部署攻擊的過程中,不僅對釣魚網(wǎng)站的頁面進(jìn)行了精心的設(shè)計(jì),同時(shí)也進(jìn)行了針對性的SEO優(yōu)化,以此來提高釣魚網(wǎng)站在搜索引擎中的排名。
以虛假的某聊天軟件為例,目前就在某搜索引擎中排在了第二位。
打開這個(gè)虛假聊天軟件的釣魚網(wǎng)站后,受騙用戶會被引導(dǎo)下載到一個(gè)以“PaoPao.rar”命名的壓縮包,而壓縮包內(nèi)則是名為“PaoPao.msi”的安裝包程序。
該程序在被安裝時(shí),除了釋放正常聊天軟件外,還會釋放遠(yuǎn)控木馬,以及在開始菜單目錄添加快捷方式文件(lnk文件),用以指向其釋放AliTask.exe(被利用的合法程序),以此來進(jìn)一步迷惑用戶并誘導(dǎo)用戶點(diǎn)擊運(yùn)行。
但AliTask.exe一旦被執(zhí)行,便會被利用去啟動(dòng)同樣是被安裝包釋放出來的名為fixaliww.exe的程序(自動(dòng)化工具,本身并非惡意軟件)。
fixaliww.exe被執(zhí)行后則會讀取同路徑下的icafe8.ini配置文件,并根據(jù)配置文件的指令啟動(dòng)兩個(gè)bat文件,把dat文件拼接成完整的可執(zhí)行程序并執(zhí)行。在完成以上部署操作后,木馬會將lnk重新改為指向虛假聊天軟件的主程序以掩人耳目。
最終木馬程序被執(zhí)行后,會從以下URL中下載惡意載荷:
該載荷被下載后會直接在內(nèi)存中被加載執(zhí)行,其功能則是一款典型的遠(yuǎn)控木馬——具有關(guān)閉設(shè)備、獲取鍵盤記錄、錄音、截屏、下載程序并運(yùn)行等一系列常用控制功能。
如果受害機(jī)器的QQ正在運(yùn)行,該木馬甚至可以獲取到一些已登錄QQ的本地信息。通過這些信息構(gòu)造數(shù)據(jù),就可能進(jìn)一步從網(wǎng)絡(luò)接口中獲取到:已加入的群信息、群好友信息、群成員列表等隱私數(shù)據(jù)。
利用這些信息,攻擊者可以對受害者及其聯(lián)系人發(fā)起釣魚、詐騙等不法行為。當(dāng)程序獲取到QQ的本地權(quán)限之后,還可以利用受害者的QQ發(fā)布虛假消息,危害及其嚴(yán)重。
值得注意的是,該釣魚黑客團(tuán)伙還精心“高仿”了諸多聊天軟件的官網(wǎng)頁面,進(jìn)行釣魚誘導(dǎo)。
因此,除了針對性安全防范,360數(shù)字安全大腦建議廣大政企機(jī)構(gòu)建立全面的數(shù)字安全防御體系,正確安裝安全防護(hù)軟件,以免重要數(shù)據(jù)泄露而產(chǎn)生不可逆的損失。
基于全球15億終端覆蓋所形成的全網(wǎng)視野,360終端安全管理系統(tǒng)是在360數(shù)字安全大腦的賦能下,集成防病毒、漏洞與補(bǔ)丁管理、Win7盾甲、終端管控、桌面優(yōu)化、軟件管理、安全U盤及移動(dòng)存儲管理等功能于一體,可及時(shí)完成對該類病毒木馬的查殺。建議廣大政企機(jī)構(gòu)下載使用,盡快構(gòu)建起應(yīng)對高級威脅的終端威脅對抗體系。
來源:360數(shù)字安全