360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器一份让盈利秒变泡影的订单,正强势操盘数千网购商家财产
- 2020-08-28 11:04:16
在刚刚过去的七夕中,万千网购卖家凭借着一手“爱情牌”,占尽“甜蜜”商机。然而虽然一个个卖家赚得钵满盆满,但殊不知稍有不慎,就可能成为网络黑手眼中的提款机。
近期,360安全大脑发现一款针对某电商平台卖家的新型网银木马频繁作案,此类木马伪装成发送给商家的“订单”文件进行钓鱼传播,一旦用户不慎打开,就可能面临资金被盗风险。
经溯源分析后,360安全大脑发现该作案黑客会借助一个隐藏的第三方浏览器窗口,和某支付系统的快捷登录功能实现对商家账户资金的操控。至少从去年12月份起,该木马就已经开始活跃,至今已有数千个网购商家遭受攻击,广东等沿海地区受灾尤为显著。
在发现该威胁的第一时间,360安全大脑便及时反馈该支付系统官方人员,并在全网对此类木马进行全方位查杀和拦截,建议中招商家尽快下载安装360安全卫士,保护个人数据及财产安全。
“订单”木马横行网络
躲避杀软以假乱真
360安全大脑经深入分析后发现,该作案黑客在网购店铺里找到目标后,就会发送给商家虚假的采购订单文件作为诱饵,该文件可以利用官方程序,来加载同目录下捆绑了木马的模块“nw_elf.dll”。
为了躲避安全软件的查杀,此模块还特地使用了一个合法的数字签名。
商家不慎点开后,狡猾的黑客还故意设计了一个欺骗性的提示弹出,让用户误以为这个文件由于系统兼容性的问题没有正常打开,降低其心理防备。
然而实际上,木马已经在后台偷偷运行,并会在系统中安装和启动更多的后门模块。
作案黑客远程操控暗中盗财
难逃360安全大脑拦截查杀
木马安装时,会添加让系统每次登录时自动通过“el.exe”加载运行“B.txt”的计划任务。
实际上,木马安装目录(“C:\ProgarmData\References”)下的三个TXT后缀的文件均是一种易语言编译的特殊易包程序,三个程序模块分工明确、互相配合。其中,“C.txt”负责以服务的形式驻留系统并启动“FHQ.TXT”。
“FHQ.TXT”运行后会通过进程快照监控进程列表,当启动的进程路径包含下列安全软件目录时,则会把该路径加入一张过滤列表中进行对抗。
“B.txt”是本木马最核心的工作模块,主要负责监控商家的支付密码并提供远程控制功能帮助黑客进行转账盗钱。该模块启动后,会通过查找某程序客户端的窗口组件来对商家操作进行监控。
监控的目标是客户端中可能出现的账号密码输入,在如下“B.TXT”中内置的一份监控列表中可以看出,大部分的目标指向是某支付系统的支付密码。
拿到支付密码后,黑客就可以通过木马模块的远程控制功能来进行转账盗钱的操作了。每次启动后,木马会尝试连接内置的一份C&C地址列表,本例“B.TXT”样本中主要内置2个控制域名分别是“mostere.com”和“huanyu3333.com”,控制端口为3500-3509。
远程控制功能包含一个核心的辅助转账功能,该功能的实现原理是借助一个第三方浏览器,创建一个对商家隐藏但对黑客可见的浏览器操作窗口。在商家登录某程序时,其会利用该客户端提供给浏览器的便捷登录功能,来进行免密快速登录。如下是黑客启动浏览器后,对浏览器进行图标隐藏并将窗口位置移出桌面正常显示范围的操作:
借助这个隐藏的浏览器,黑客可以远程操作进行一键登录商家的支付账户,暗中转走商家的账户资金。和以往常见的“暗雷”木马不同,此盗窃过程不需要对用户进行二次诱骗,完全由黑客远程进行监控和操作,因此隐蔽性和危害性更强。
在网警提供的受害商家木马安装目录中,提取辅助浏览器的历史记录可发现,作案黑客通过该方式暗中对受害商家进行了多次转账操作,并且在转账之前还进行过借款操作。
纵观此次针对网购卖家的“订单”木马事件可见,商家只要在中招后继续通过电脑进行登录、转账等操作,支付密码就会暴露给黑客。同时,为了避免异地登录等安全提示,黑客会利用某程序的快捷登录功能和一个隐藏的第三方浏览器,通过远程操控商家电脑进行暗中盗取钱财。面对如此防不胜防的网络威胁,用户安全防护意识切忌放松警惕。
不过广大用户无需过分担心,在360安全大脑的极智赋能下,360安全卫士已实现针对该类木马的全面拦截和查杀。为避免攻击态势再度蔓延,建议广大用户做好以下防护措施:
1、及时前往weishi.360.cn,下载安装360安全卫士,强力查杀此类病毒木马;
2、提高安全意识,为个人电子账户设置强密码和多重验证;
3、定期检测系统和软件中的安全漏洞,及时打上补丁。
文件HASH
024fcea030ea331c75fbccbeaf98ea45 nw_elf.dll
1c8f99d078e297b8727af42a390ad1b3 B.TXT
735bf3d9af6e104e13943be5e3b98dcd C.TXT
68b90544ce30af5befc39731a93bfd60 FHQ.TXT
C&C
mostere.com
huanyu3333.com
mostereses.com
京公网安备 11000002000006号