灵魂暴击:聊天记录被抓包
- 2018-12-20 20:12:47
截到多例攻击“PC聊天工具”的窃密者木马,该类木马主要通过聊天工具进行定向传播,运行之后会窃取本机正在运行的QQ好友、所加群内联系人以及微信聊天信息等内容,并通过邮件发送到攻击者邮箱,目前受害者已超1800位。
该类木马表面上是身份证照片、订购单、截图等,实际上是后缀为.exe、.cmd等的可执行程序,一旦运行就会在后台收集受害者信息。首先会通过访问QQ本地快速认证接口得到ClientKey,之后带着该参数获得受害者QQ联系人、群成员信息。
获取QQClientKey
联系人及群信息接口
第二步,判断微信PC版的进程是否启动,若启动则开始收集微信数据。通过微信PC版全局配置文件获取到当前登录用户的数据存储路径,解析当前登录微信的帐号、联系人、聊天记录等信息。
生成的运行日志
由于微信聊天数据通过Sqlite同时设置密钥存储于MicroMsg.db,并且该密钥在登录时动态生成,每次各不一样,只存储于微信的内存中,所以“窃密者”通过读取微信内存数据提取该串密钥。
读取微信内存数据
所有数据提取完毕之后,会将文件全部打包为“QQ好友.zip”,通过动态执行VBS脚本将上述附件以邮件方式发送给自己。
通过邮件回传受害者信息
受害者被窃取的数据内容
此类木马主要通过聊天工具定向传播,具备较强的目的性,一般受害者在事发当时难以察觉异常,为此,360安全专家给出如下建议:
1、不接收、不点击来源不明的文件,打开文件前务必看清文件后缀。
2、养成良好的上网习惯,避免使用弱密码并定期更新,不在聊天中透漏涉及钱财的信息。
3、360安全卫士可精准查杀该类木马,建议广大用户及时安装并保证其正常运行,以防护电脑安全,PC端复制链接http://weishi.360.cn/ 即可下载体验。