360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器钓鱼迷惑行为大赏,“官方清理微信僵尸粉”它来了
- 2020-06-16 11:17:22
打着“免费清理僵尸粉”的口号的钓鱼欺诈套路,早已屡见不鲜,没想到最近老套路又有了新玩法,近期,360安全大脑发现一名为“微信官方清理僵尸粉”的钓鱼软件再度活跃起来,导致大批不明真相网友上当受骗。
经360安全大脑分析发现,该钓鱼软件以“微信官方清理僵尸粉”为噱头,引诱用户授权登录网页版/客户端微信,进而通过恶意利用、盗号等手段,实施钓鱼欺诈,不幸中招用户微信,出现了自动添加好友、群发广告、自动向好友发送借钱消息等多种情况。 360安全大脑建议谨慎识别不明来源信息,可下载安装360手机卫士保护个人隐私及数据安全。
钓鱼迷惑行为大赏,“官方清理僵尸粉”步步设陷
实际上,利用“清理微信僵尸粉”实施钓鱼骗局的这一手法不算罕见。但在这一钓鱼软件中,360安全大脑发现钓鱼软件作者添加了大量的迷惑信息干扰用户判断。
比如,钓鱼软件作者添加了当用户在下拉网页时提示信息为“此网页由 mp.weixin.qq.com 提供”的极具迷惑性的提示,并将自己伪装成“官方清粉团队”,甚至还网页中添加了投诉按钮。当用户点击投诉按钮后,便提示“微信官方团队已受理投诉”的迷惑信息进一步以假乱真,不明觉厉的用户便会为误以为真。
更让用户深信不疑的是,钓鱼软件作者还在页面上虚假标注了 “360网站安全检测,官方认证、可放心访问”字样…
360安全大脑对其代码进行分析后,发现其钓鱼欺诈流程如下:
第一步:撒下诱饵
首先,钓鱼软件作者会通过向用户推送清理僵尸粉的推广海报等不同方式传播钓鱼软件,在用户在识别海报二维码之后会进入一个伪装成官方清粉团队的页面。为了让用户更容易操作上当,钓鱼软件作者还制作了视频教程,教用户一步步操作;
当用户按照视频教程指导,点击进入检测地址的按钮后,会首先请求hxxp://vwl5djcoks72[.]cn/api/front/qrloginurl 获取微信登录二维码接口地址:hxxp://47.113.201[.]90:3000/mm/getloginqrcode;
第二步:精心伪装
此时页面上会显示“点击开始检测生成二维码,扫码登录即可检测”的提示。为了进一步伪装,钓鱼软件作者添加伪装“此网页由 mp.weixin.qq.com提供”的提示,当用户拖住页面下拉时将会看到此信息,引导用户误认为这是微信官方提供的服务;
一旦用户受骗扫码了检测二维码,钓鱼软件作者就将根据获取到的接口地址加上地区等参数请求返回微信登录二维码给用户确认授权。
在这里,为了精准获取对应的区域信息,作者还使用了高德的IP定位API接口来获取用户地理位置,如:hxxp://47.113.201[.]90:3000/mm/getloginqrcode?u=3&op=false&pro=北京直辖市&city=北京市&img=true
作者使用到的高德API接口的Key为:6145fa3d371ec84a6a46e7eae849bcd2 hxxp://restapi.amap[.]com/v3/ip?key=6145fa3d371ec84a6a46e7eae849bcd2
第三步:鱼儿上钩
此时如果用户使用手机拍照并扫描了这个二维码,就会出现如下图所示的确认登录确认界面,一旦用户点击了这里的确认登录,微信就将会在钓鱼作者控制的网页端或电脑端登录,等同于把个人微信的控制权和使用权拱手相让。
教科书级的“骚操作”,令人猝不及防
在探究该钓鱼软件时,360安全大脑发现其作者为了防止“鱼儿脱钩”,还在更多细枝末节上做了精心设计,可谓是对用户的心理拿捏的十分巧妙。
首先,为防止用户自身手机端微信登录状态提示,意识到自身微信存在其它设备登录而引起警觉,钓鱼软件作者特意添加了让用户等待1分钟的提示。得以让用户暂时打消疑虑,保证钓鱼软件作者至少可以控制用户微信1分钟以上。
而在这1分钟时间内,钓鱼软件作者可以通过自动化程序完成包括抓取用户所有的微信好友信息、自动给好友群发广告信息、添加一些营销广告好友以及关注一些营销广告的公众号,甚至向用户的好友发送借钱信息等大量恶意操作。
其次,通常情况下,如果用户在微信上遭遇到欺诈信息,微信官方通常建议用户在微信安全中心进行举报投诉。在该钓鱼软件中,作者为了规避举报投诉,甚至还伪造了微信安全中心界面,让用户投诉也做了无用功。
更值得注意的是,该钓鱼软件在获取不慎中招的用户微信登录权限后,还会同时将包含钓鱼软件的二维码海报发送给用户全部好友,且不会留下发送记录,最终形成病毒式传播。
不怕城市套路深,360安全大脑陪你见招拆招
在对其代码进行分析时,360安全大脑对恶意钓鱼软件作者所使用的IP进行了反查,反查发现其注册了近200个用于此类钓鱼的域名,其中部分域名如下:
对此,360安全大脑提醒广大用户:
1、 建议下载使用360手机卫士进行安全防护,如遇可疑二维码,可用360手机卫士的二维码安全检测功能进行安全性检测。
2、 提升安全防范意识,注意保护个人信息安全;
3、 不明来源的链接、二维码谨慎点击,不建议扫描识别非官方二维码进行登录操作;
IOC信息
URLS:
hxxp://taehv52p3347[.]cn/9igqbviccdx/tutorial.html
hxxp://47.113.192[.]129:3000/mm/getloginqrcode hxxp://47.114.35[.]19:3000/mm/getloginqrcode
hxxp://vwl5djcoks72[.]cn/api/front/qrloginurl
使用的高德API接口KEY为:
6145fa3d371ec84a6a46e7eae849bcd2
京公网安备 11000002000006号