站長資訊網在剛剛過去的七夕中,萬千網購賣家憑借著一手“愛情牌”,占盡“甜蜜”商機。然而雖然一個個賣家賺得缽滿盆滿,但殊不知稍有不慎,就可能成為網絡黑手眼中的提款機。
近期,360安全大腦發現一款針對淘寶賣家的新型網銀木馬頻繁作案,此類木馬偽裝成發送給商家的“訂單”文件進行釣魚傳播,一旦用戶不慎打開,就可能面臨資金被盜風險。
經溯源分析后,360安全大腦發現該作案黑客會借助一個隱藏的第三方瀏覽器窗口,和支付寶的快捷登錄功能實現對商家賬戶資金的操控。至少從去年12月份起,該木馬就已經開始活躍,至今已有數千個淘寶商家遭受攻擊,廣東等沿海地區受災尤為顯著。
在發現該威脅的第一時間,360安全大腦便及時反饋支付寶官方人員,并在全網對此類木馬進行全方位查殺和攔截,建議中招商家盡快下載安裝360安全衛士,保護個人數據及財產安全。
“訂單”木馬橫行網絡
躲避殺軟以假亂真
360安全大腦經深入分析后發現,該作案黑客在淘寶店鋪里找到目標后,就會通過阿里旺旺發送給商家虛假的采購訂單文件作為誘餌,該文件可以利用官方的釘釘程序,來加載同目錄下捆綁了木馬的模塊“nw_elf.dll”。
為了躲避安全軟件的查殺,此模塊還特地使用了一個合法的數字簽名。
商家不慎點開后,狡猾的黑客還故意設計了一個欺騙性的提示彈出,讓用戶誤以為這個文件由于系統兼容性的問題沒有正常打開,降低其心理防備。
然而實際上,木馬已經在后臺偷偷運行,并會在系統中安裝和啟動更多的后門模塊。
作案黑客遠程操控暗中盜財
難逃360安全大腦攔截查殺
木馬安裝時,會添加讓系統每次登錄時自動通過“el.exe”加載運行“B.txt”的計劃任務。
實際上,木馬安裝目錄(“C:ProgarmDataReferences”)下的三個TXT后綴的文件均是一種易語言編譯的特殊易包程序,三個程序模塊分工明確、互相配合。其中,“C.txt”負責以服務的形式駐留系統并啟動“FHQ.TXT”。
“FHQ.TXT”運行后會通過進程快照監控進程列表,當啟動的進程路徑包含下列安全軟件目錄時,則會把該路徑加入一張過濾列表中進行對抗。
“B.txt”是本木馬最核心的工作模塊,主要負責監控商家的支付密碼并提供遠程控制功能幫助黑客進行轉賬盜錢。該模塊啟動后,會通過查找千牛客戶端的窗口組件來對商家操作進行監控。
監控的目標是客戶端中可能出現的賬號密碼輸入,在如下“B.TXT”中內置的一份監控列表中可以看出,大部分的目標指向是支付寶的支付密碼。
拿到支付密碼后,黑客就可以通過木馬模塊的遠程控制功能來進行轉賬盜錢的操作了。每次啟動后,木馬會嘗試連接內置的一份C&C地址列表,本例“B.TXT”樣本中主要內置2個控制域名分別是“mostere.com”和“huanyu3333.com”,控制端口為3500-3509。
遠程控制功能包含一個核心的輔助轉賬功能,該功能的實現原理是借助一個第三方瀏覽器,創建一個對商家隱藏但對黑客可見的瀏覽器操作窗口。在商家登錄千牛時,其會利用千牛客戶端提供給瀏覽器的便捷登錄功能,來進行免密快速登錄。如下是黑客啟動瀏覽器后,對瀏覽器進行圖標隱藏并將窗口位置移出桌面正常顯示范圍的操作:
借助這個隱藏的瀏覽器,黑客可以遠程操作進行一鍵登錄商家的支付寶賬戶,暗中轉走商家的賬戶資金。和以往常見的支付寶“暗雷”木馬不同,此盜竊過程不需要對用戶進行二次誘騙,完全由黑客遠程進行監控和操作,因此隱蔽性和危害性更強。
在網警提供的受害商家木馬安裝目錄中,提取輔助瀏覽器的歷史記錄可發現,作案黑客通過該方式暗中對受害商家進行了多次轉賬操作,并且在轉賬之前還進行過借款操作。
縱觀此次針對淘寶賣家的“訂單”木馬事件可見,商家只要在中招后繼續通過電腦進行登錄、轉賬等操作,支付密碼就會暴露給黑客。同時,為了避免異地登錄等安全提示,黑客會利用千牛客戶端的快捷登錄功能和一個隱藏的第三方瀏覽器,通過遠程操控商家電腦進行暗中盜取錢財。面對如此防不勝防的網絡威脅,用戶安全防護意識切忌放松警惕。
不過廣大用戶無需過分擔心,在360安全大腦的極智賦能下,360安全衛士已實現針對該類木馬的全面攔截和查殺。為避免攻擊態勢再度蔓延,建議廣大用戶做好以下防護措施:
1、及時前往weishi.360.cn,下載安裝360安全衛士,強力查殺此類病毒木馬;
2、提高安全意識,為個人電子賬戶設置強密碼和多重驗證;
3、定期檢測系統和軟件中的安全漏洞,及時打上補丁。
文件HASH
024fcea030ea331c75fbccbeaf98ea45nw_elf.dll
1c8f99d078e297b8727af42a390ad1b3B.TXT
735bf3d9af6e104e13943be5e3b98dcdC.TXT
68b90544ce30af5befc39731a93bfd60FHQ.TXT
C&C
mostere.com
huanyu3333.com
mostereses.com
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
