雷锋网宅客频道消息,据腾讯御见威胁情报中心监测发现某输入法软件及某网吧管理软件内嵌的广告页面遭遇网页挂马攻击,这些软件启动时,会自动打开内嵌的广告页面。
盗号木马团伙使用黑客技术精心构造了含漏洞攻击代码的广告(漏洞编号:CVE-2018-8174)。随着广告页面呈现,漏洞攻击代码被触发,更多恶意软件被下载安装。包括其他木马下载器、Steam盗号木马、广告刷量木马。
相关数据表明,受挂马影响的电脑超过5万台,其中有大约20%(即1万余台电脑)被安装多个盗号木马、广告刷量木马,以及木马下载器。
具体攻击过程:
受挂马攻击的软件在请求广告时会访问挂马广告页面
挂马URL:hxxp://jx2.yknszc.cn/cn2/;www.hftg4j.cn:2002/index.html
该广告页面中被嵌入了恶意脚本代码,代码通过ASCII编码,解码后内容为嵌入一个iframe,指向www5.hpx0.cn:2005/hpx02005.html(另一个受影响的软件会指向hxxp://www6.hpq0.cn/hpq02006.html)
www5.hpx0.cn:2005/hpx02005.html中同样是一段ASCII编码的脚本,解码内容后发现其中包含CVE-2018-8174漏洞利用代码,该漏洞影响多个版本的IE浏览器以及使用了IE内核的应用程序。
广告模块内置的IE浏览器在访问挂马页面时,触发漏洞执行了恶意代码。
▲恶意脚本代码
▲CVE-2018-8174漏洞利用代码
漏洞触发后执行hxxp://www.mini00.com:8888/006.hta,该脚本通过powershell.exe继续下载和执行hxxp://www6.hpq0.cn:2006/2006.exe
有意思的是,通过病毒代码分析,发现这起挂马事件的始作俑者,会检测受害电脑IP,如果位于北京上海广东山东浙江五省市,就会停止进一步产生危害。
对于用户来说不必恐慌,只需及时安装操作系统补丁即可。