查看: 5452|回复: 45
收起左侧

[分享] 2345导航站”弹窗广告携带病毒 盗取QQ和多款热门游戏账号

  [复制链接]
yzsts
发表于 2019-4-1 09:52:21 | 显示全部楼层 |阅读模式
一、概述

4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。


火绒工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及f.l.a.s.h漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

该病毒利用IE浏览器漏洞和f.l.a.s.h漏洞进行传播,受影响f.l.a.s.h控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其f.l.a.s.h控件是以上版本,都会被感染。
安装最新版“火绒安全软件”,即可彻底查杀该病毒。该病毒整个传播链条及所涉相关企业、疑似团伙嫌疑人等信息,请阅读后附的详细分析报告。


二、样本分析

近期,火绒发现2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认,我们初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和f.l.a.s.h漏洞,漏洞代码执行后会从C&C服务器(hxxps:// www.yyakeq.cn)下载执行病毒代码,现阶段火绒发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号,再联系其广告内容“高价在线回收所有网游装备/金币”,我们推断此次攻击主要针对对象主要为网络游戏人群,且针对性极强。2345导航站中相关广告内容和相关HTML代码,如下图所示:
[size=0.83em]火绒安全警报:“2345导航站”弹窗广告携带病毒 盗取QQ和多款热门游戏账号1228.png.png(722.45 KB, 下载次数: 0)
下载附件
[color=rgb(153, 153, 153) !important]5 小时前 上传




2345导航站中相关广告内容和相关HTML代码

从页面代码看,该广告展示代码的植入也非常“奇特”,因为广告展示链接是硬编码在页面代码中的。根据web.archive.org的抓取结果,该广告展示代码应该于2019年3月25日至2019年3月28日期间首次上线,截至本报告撰写时,该代码仍然有效且漏洞和病毒逻辑仍可激活。恶意广告内容为被包含在iframe标签中的广告页面。页面嵌套关系,如下图所示:

病毒页面嵌套调用关系

tj.html中首先会默认加载ad.html利用f.l.a.s.h漏洞进行攻击,之后再根据浏览器的User Agent加载不同的IE漏洞利用代码(banner.html或cookie.html)。相关代码,如下图所示:

ad.html中的HTML代码中包含有混淆后的JavaScript代码。相关代码,如下图所示:

ad.html中的HTML代码

ad.html中代码会被先后解密两次,最终得到漏洞调用代码,根据漏洞利用代码的调用逻辑,我们可以粗略确认受影响的f.l.a.s.h版本范围为21.0.0.180 至 31.0.0.160之间。相关代码,如下图所示:

最终执行的漏洞攻击相关调用代码

漏洞被触发后,会调用远程HTA脚本会从C&C服务器地址(hxxp://www.ce56b.cn/logo.swf)下载病毒数据到本地进行解密执行,被解密后的病毒数据为下载者病毒。相关进程调用关系,如下图所示:

漏洞触发后的进程调用关系

病毒解密相关代码,如下图所示:

病毒解密代码

banner.html和cookie.html最终也会执行类似的远程HTA脚本最终通过相同的C&C服务器地址下载执行相同恶意代码。相关代码,如下图所示:

解密远程HTA脚本地址


漏洞触发代码

漏洞被触发后,最终被下载执行的下载者病毒会根据C&C服务器返回的配置(hxxp://www.ce56b.cn/tj.txt),下载盗号木马到本地进行执行。存在被盗号风险的软件包括:Steam游戏平台、WeGame游戏平台、腾讯QQ、地下城与勇士、穿越火线、英雄联盟。相关配置,如下图所示:

下载者病毒配置

腾讯QQ、地下城与勇士、穿越火线游戏的盗号木马均为Delphi编写,通过伪造游戏登陆界面,欺骗诱导用户输入游戏账号密码,获取到账号密码会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:

提交账号与密码

英雄联盟、WeGame游戏平台同样也是通过伪造游戏的登陆界面,获取用户的游戏账号和密码,并且账号密码也会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:

提交账号与密码

在盗取Steam游戏平台账号密码 时,首先该病毒会释放libsteam.dll到steam目录下,并调用该动态库的导出函数InstallHook 用于安装全局钩子。相关代码,如下图所示:

调用导出函数

该动态库会安装全局钩子,用于将自身注入到steam进程,当注入到steam进程后SteamUI.dll中TextEntry控件相关的函数,用于截取用户的账号密码输入。注入部分代码,如下图所示:

安装全局钩子

HOOK SteamUI.dll用于截获用户的账号密码。HOOK 相关代码,如下图所示:

HOOK SteamUI.dll

被盗取的账号,同样也会发送到远程C&C服务器(hxxp://zouxian1.cn)。相关代码,如下图所示:

提交账号与密码

三、溯源分析
本次报告过程中获取到的可溯源信息包括网马信息和病毒相关信息,下文分块进行溯源分析。

网马溯源
通过对域名yyakeq.cn和ce56b.cn的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容(如下图所示),所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。


其中一个域名指向的页面内容

yyakeq.cn域名注册信息

ce56b.cn域名注册信息

部分疑似DGA域名


部分疑似DGA域名


盗号病毒溯源

通过对盗号病毒收集URL的Whois查询,可以得到如下信息:

域名zouxian1.cn注册信息

另外通过该域名注册信息的联系人和联系邮箱反查,此人以同样的命名方式于2018年4月20日共注册了15个近似域名:

域名注册反查结果

另外,通过ICP备案查询发现,其中部分域名还经过了ICP个人备案:

ICP备案查询结果

并且同日(2018年4月20日),此人还用同样的QQ邮箱(2659869342@qq.com)和不同的姓名注册了另外两个形式与前述域名相似的域名,如下图所示:

域名注册反查结果



四、附录
文中涉及样本SHA256:





bambooslip
发表于 2019-4-1 09:54:24 | 显示全部楼层
这个因该发到火绒区。
安全守护者
头像被屏蔽
发表于 2019-4-1 10:19:59 来自手机 | 显示全部楼层
我不是早就扔资讯区了吗
安全守护者
头像被屏蔽
发表于 2019-4-1 10:20:28 来自手机 | 显示全部楼层
怎么又发一遍
ydgaga
发表于 2019-4-1 10:27:20 | 显示全部楼层
2345目前是最流氓的公司,其次是国内的f.l.a.s.h代{过}{滤}理
安全守护者
头像被屏蔽
发表于 2019-4-1 10:32:39 来自手机 | 显示全部楼层
ydgaga 发表于 2019-4-1 10:27
2345目前是最流氓的公司,其次是国内的f.l.a.s.h代{过}{滤}理

这个是广告被投毒了,不全是2345的问题
roguekiller
发表于 2019-4-1 11:07:17 来自手机 | 显示全部楼层
长知识了。
roguekiller
发表于 2019-4-1 11:10:47 来自手机 | 显示全部楼层
回家换主页去。不知还有哪家主页不错?
安全守护者
头像被屏蔽
发表于 2019-4-1 11:24:18 来自手机 | 显示全部楼层
roguekiller 发表于 2019-4-1 11:10
回家换主页去。不知还有哪家主页不错?

bing不错,某柠檬也不错
wakin
发表于 2019-4-1 11:37:22 | 显示全部楼层
roguekiller 发表于 2019-4-1 11:10
回家换主页去。不知还有哪家主页不错?

我的主页空白页
然后要上哪个网站书签里找
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:02 , Processed in 0.170282 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表