360云安全系统发现国内多款软件的广告页遭到挂马攻击。攻击团伙通过页面广告,向大量客户端软件资讯和新闻窗中插入带有CVE-2016-0189漏洞利用代码的挂马页面,漏洞利用代码执行后,在设备上植入后门,后续可能进行投放推广软件、植入挖矿木马或勒索病毒等恶意操作。
图1携带漏洞攻击代码的广告页面
受影响的软件包括暴风影音、风行播放器、SohuNews、万能看图王、智能云输入法等大量客户端软件,360安全卫士今日对该挂马攻击的拦截量已超过10万次。
以暴风影音为例进行分析,暴风影音的广告页hxxp://pop.baofeng.net/popv5/html/baofeng/shishangtext.html中插入了一个站长统计页面hxxp://139.224.225.117/haohao.htm,而该页面中被插入了指向hxxp://107.150.50.34的iframe标签,hxxp://107.150.50.34最终会跳转到hxxp://222.186.3.73:8181/index.html执行漏洞利用代码。
图2 广告页面被插入链接为hxxp://139.224.225.117/haohao.htm的站长统计页面
图3 站长统计页面指向hxxp://107.150.50.34
图4 hxxp://222.186.3.73:8181/index.html中的漏洞利用代码
漏洞利用代码将执行如下图所示命令,从hxxp://222.186.3.73:8591/wp32@a1edc941.exe下载恶意程序到Temp文件夹并命名为winrar.exe执行。
图4 漏洞利用代码执行的命令
WinRAR.exe本质上是个Downloader,它会从hxxp://222.186.3.73:8591/QQExternal.exe下载文件到计算机上执行,该程序是个后门程序,会加载恶意驱动并实现持续驻留,后续可能用于往受害者计算机中植入其他恶意软件。
经分析发现,该挂马事件与之前国内发生的多起广告页面挂马事件为同一团伙所为,该团伙在去年就曾通过暴风影音广告页面进行挂马攻击,向受害者计算机中强制安装流氓推广软件。而今年初,该团伙还曾通过同样的挂马攻击往受害者计算机中植入挖矿木马牟利。
对此类挂马攻击,安全专家建议广大网民及时更新系统补丁,并使用安全软件防护。目前,360安全卫士无需升级就可完美拦截此类挂马攻击。
360安全卫士下载地址:http://dl.360safe.com/setup.exe
免责声明:
本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!
[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。