广告有毒!大规模播放器挂马攻击预警
广告有毒!大规模播放器挂马攻击预警
2018-04-13 10:53:57 来源:中原财经网
抢沙发
2018-04-13 10:53:57 来源:中原财经网
摘要:360云安全系统日前监测到一起大规模软件挂马攻击事件。受影响软件包括国内多款视频播放器,部分输入法及新闻类客户端。
关键词:
360云安全
360云安全系统日前监测到一起大规模软件挂马攻击事件。受影响软件包括国内多款视频播放器,部分输入法及新闻类客户端。攻击团伙通过页面广告,向软件内插入攻击代码,进而在用户设备上植入后门,后续进行勒索、挖矿、软件推广等多种恶意操作。目前,360安全卫士单日拦截的挂马攻击已达10万余次,且攻击情况还在蔓延,请用户尽快使用360安全卫士做好防护。
360云安全系统发现国内多款软件的广告页遭到挂马攻击。攻击团伙通过页面广告,向大量客户端软件资讯和新闻窗中插入带有CVE-2016-0189漏洞利用代码的挂马页面,漏洞利用代码执行后,在设备上植入后门,后续可能进行投放推广软件、植入挖矿木马或勒索病毒等恶意操作。
图1携带漏洞攻击代码的广告页面
受影响的软件包括暴风影音、风行播放器、SohuNews、万能看图王、智能云输入法等大量客户端软件,360安全卫士今日对该挂马攻击的拦截量已超过10万次。
以暴风影音为例进行分析,暴风影音的广告页hxxp://pop.baofeng.net/popv5/html/baofeng/shishangtext.html中插入了一个站长统计页面hxxp://139.224.225.117/haohao.htm,而该页面中被插入了指向hxxp://107.150.50.34的iframe标签,hxxp://107.150.50.34最终会跳转到hxxp://222.186.3.73:8181/index.html执行漏洞利用代码。
图2 广告页面被插入链接为hxxp://139.224.225.117/haohao.htm的站长统计页面
图3 站长统计页面指向hxxp://107.150.50.34
图4 hxxp://222.186.3.73:8181/index.html中的漏洞利用代码
漏洞利用代码将执行如下图所示命令,从hxxp://222.186.3.73:8591/wp32@a1edc941.exe下载恶意程序到Temp文件夹并命名为winrar.exe执行。
图4 漏洞利用代码执行的命令
WinRAR.exe本质上是个Downloader,它会从hxxp://222.186.3.73:8591/QQExternal.exe下载文件到计算机上执行,该程序是个后门程序,会加载恶意驱动并实现持续驻留,后续可能用于往受害者计算机中植入其他恶意软件。
经分析发现,该挂马事件与之前国内发生的多起广告页面挂马事件为同一团伙所为,该团伙在去年就曾通过暴风影音广告页面进行挂马攻击,向受害者计算机中强制安装流氓推广软件。而今年初,该团伙还曾通过同样的挂马攻击往受害者计算机中植入挖矿木马牟利。
对此类挂马攻击,安全专家建议广大网民及时更新系统补丁,并使用安全软件防护。目前,360安全卫士无需升级就可完美拦截此类挂马攻击。
360安全卫士下载地址:http://dl.360safe.com/setup.exe
第三十六届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:chenjian
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
