集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

网络黑产作恶手段花式翻新,热门网游惨遭钓鱼木马“碰瓷”

2020-09-03

在如今形势复杂的网络攻防中,不具备专业安全知识的普通用户,早已成为了攻防对抗中最薄弱的环节。而操作简单直接的网络钓鱼攻击,就是以使用电脑的人为目标,持续在网络间猖獗作恶。

恰逢疫情,越来越多的网民将网络游戏作为茶余饭后的必备消遣,然而在沉迷“氪肝”之余,却很有可能成为“钓鱼客”们的首选目标。

近日,360安全大脑监测到一批恶意钓鱼样本正在有组织的小规模投放测试,该恶意软件成功运行后会在用户电脑上建立后门,用户电脑沦为木马团伙手中的肉鸡。

对此,360安全大脑已针对此类木马进行了全方位的查杀和拦截,建议中招用户尽快下载安装360安全卫士,保护个人数据及财产安全。


undefined


精心伪装混入“备战大军”

游戏玩家电脑沦为“肉鸡”


8月底,魔兽世界有两个重磅新闻——“魔兽世界怀旧服一周年”和“魔兽世界9.0确定上线日期”,整个魔兽世界的玩家都陷入了兴奋之中。这场用户期待已久的游戏活动也吸引了赛博世界中的另一群人——邪恶的木马团伙正伺机而动,开始部署新一轮的钓鱼攻击。


undefined


根据360安全大脑捕获到的样本来看,散播钓鱼的木马团伙很可能在魔兽世界游戏中建立了自己的公会,以及对应的公会YY频道。


undefined


在游戏中各个公会都在为了游戏新版本进行备战、招收新成员的时候,木马团伙也混进了备战大军中,利用游戏中常见的行为——公会成员统一YY马甲格式、发放公会福利等等,对玩家进行钓鱼攻击。

此时,一旦玩家信以为真,运行了钓鱼文件,恶意软件就会立刻释放恶意文件建立后门。


伪装合法数字签名

360安全大脑独家披露细节


值得注意的是,360安全大脑对其行为进行了深度分析,发现该恶意软件为了躲避安全软件查杀,给自身打上了合法的数字签名。


undefined


随后,恶意软件启动之后会下载释放一组白加黑的后门模块。


undefined


Zlibwapi.dll则是对Online.exe进行了DLL劫持。


undefined


其中Online.exe是DVDFab Player 3的错误上报程序BugReport.exe,并且具备正常签名。


undefined


最终目的是加载TianMa~.dll建立后门。


undefined


360安全大脑还进一步进行了大数据关联,发现该木马团伙涉猎的黑产类型较多,包括但不限于通过在论坛发布破解补丁钓鱼、挖矿、制作外挂,部分相关文件如图所示。


undefined


这些软件的目的也都是用作钓鱼,更有甚者会诱导用户退出安全软件。


undefined


网络钓鱼横行网络

360安全大脑强势出击


在发现此次木马“碰瓷”网络热游的第一时间,360安全大脑便对此类木马展开持续追踪,目前已可有效进行拦截查杀。

值得一提的是,网络钓鱼时至今日早已形成了一条黑色产业链,在这个链条上有人专门负责开发工具,有人专门负责对抗安全软件,有些人专门负责散播已经制作完成的钓鱼样本,攻陷用户的电脑或服务器是他们的最终目标,严重威胁到用户的隐私及财产安全。为避免类似威胁态势继续蔓延,360安全大脑给出如下安全建议:

1、前往weishi.360.cn,下载安装360安全卫士,对此类木马进行有效查杀;

2、 不点击陌生链接,收到陌生来源的邮件不要轻易相信,多加核对;

3、 从陌生来源下载得到的文件,不要轻易运行;

4、 正规软件不会诱导用户退出安全软件,也请用户警惕诱导退出安全软件的提示。


IOCs


undefined


undefined