360云安全系统日前监测到一起大规模软件挂马攻击事件。受影响软件包括国内多款视频播放器,部分输入法及新闻类客户端。攻击团伙通过页面广告,向软件内插入攻击代码,进而在用户设备上植入后门,后续进行勒索、挖矿、软件推广等多种恶意操作。目前,360安全卫士单日拦截的挂马攻击已达10万余次,且攻击情况还在蔓延,请用户尽快使用360安全卫士做好防护。
360云安全系统发现国内多款软件的广告页遭到挂马攻击。攻击团伙通过页面广告,向大量客户端软件资讯和新闻窗中插入带有CVE-2016-0189漏洞利用代码的挂马页面,漏洞利用代码执行后,在设备上植入后门,后续可能进行投放推广软件、植入挖矿木马或勒索病毒等恶意操作。
图1携带漏洞攻击代码的广告页面
受影响的软件包括暴风影音、风行播放器、SohuNews、万能看图王、智能云输入法等大量客户端软件,360安全卫士今日对该挂马攻击的拦截量已超过10万次。
以暴风影音为例进行分析,暴风影音的广告页
hxxp://pop.baofeng.net/popv5/html/baofeng/shishangtext.html中插入了一个站长统计页面
hxxp://139.224.225.117/haohao.htm,而该页面中被插入了指向hxxp://107.150.50.34的iframe标签
hxxp://107.150.50.34最终会跳转到hxxp://222.186.3.73:8181/index.html执行漏洞利用代码。
图2 广告页面被插入链接为hxxp://139.224.225.117/haohao.htm的站长统计页面
图3 站长统计页面指向hxxp://107.150.50.34
图4 hxxp://222.186.3.73:8181/index.html中的漏洞利用代码
漏洞利用代码将执行如下图所示命令,从hxxp://222.186.3.73:8591/wp32@a1edc941.exe下载恶意程序到Temp文件夹并命名为winrar.exe执行。
图4 漏洞利用代码执行的命令
WinRAR.exe本质上是个Downloader,它会从hxxp://222.186.3.73:8591/QQExternal.exe下载文件到计算机上执行,该程序是个后门程序,会加载恶意驱动并实现持续驻留,后续可能用于往受害者计算机中植入其他恶意软件。
经分析发现,该挂马事件与之前国内发生的多起广告页面挂马事件为同一团伙所为,该团伙在去年就曾通过暴风影音广告页面进行挂马攻击,向受害者计算机中强制安装流氓推广软件。而今年初,该团伙还曾通过同样的挂马攻击往受害者计算机中植入挖矿木马牟利。
对此类挂马攻击,安全专家建议广大网民及时更新系统补丁,并使用安全软件防护。目前,360安全卫士无需升级即可拦截此类挂马攻击。