在剛剛過去的七夕中，萬千網(wǎng)購賣家憑借著一手“愛情牌”，占盡“甜蜜”商機(jī)。然而雖然一個(gè)個(gè)賣家賺得缽滿盆滿，但殊不知稍有不慎，就可能成為網(wǎng)絡(luò)黑手眼中的提款機(jī)。

　　近期，360安全大腦發(fā)現(xiàn)一款針對(duì)淘寶賣家的新型網(wǎng)銀木馬頻繁作案，此類木馬偽裝成發(fā)送給商家的“訂單”文件進(jìn)行釣魚傳播，一旦用戶不慎打開，就可能面臨資金被盜風(fēng)險(xiǎn)。

　　經(jīng)溯源分析后，360安全大腦發(fā)現(xiàn)該作案黑客會(huì)借助一個(gè)隱藏的第三方瀏覽器窗口，和支付寶的快捷登錄功能實(shí)現(xiàn)對(duì)商家賬戶資金的操控。至少從去年12月份起，該木馬就已經(jīng)開始活躍，至今已有數(shù)千個(gè)淘寶商家遭受攻擊，廣東等沿海地區(qū)受災(zāi)尤為顯著。

　　在發(fā)現(xiàn)該威脅的第一時(shí)間，360安全大腦便及時(shí)反饋支付寶官方人員，并在全網(wǎng)對(duì)此類木馬進(jìn)行全方位查殺和攔截，建議中招商家盡快下載安裝360安全衛(wèi)士，保護(hù)個(gè)人數(shù)據(jù)及財(cái)產(chǎn)安全。

　　“訂單”木馬橫行網(wǎng)絡(luò)

　　躲避殺軟以假亂真

　　360安全大腦經(jīng)深入分析后發(fā)現(xiàn)，該作案黑客在淘寶店鋪里找到目標(biāo)后，就會(huì)通過阿里旺旺發(fā)送給商家虛假的采購訂單文件作為誘餌，該文件可以利用官方的釘釘程序，來加載同目錄下捆綁了木馬的模塊“nw_elf.dll”。

　　為了躲避安全軟件的查殺，此模塊還特地使用了一個(gè)合法的數(shù)字簽名。

　　商家不慎點(diǎn)開后，狡猾的黑客還故意設(shè)計(jì)了一個(gè)欺騙性的提示彈出，讓用戶誤以為這個(gè)文件由于系統(tǒng)兼容性的問題沒有正常打開，降低其心理防備。

　　然而實(shí)際上，木馬已經(jīng)在后臺(tái)偷偷運(yùn)行，并會(huì)在系統(tǒng)中安裝和啟動(dòng)更多的后門模塊。

　　作案黑客遠(yuǎn)程操控暗中盜財(cái)

　　難逃360安全大腦攔截查殺

　　木馬安裝時(shí)，會(huì)添加讓系統(tǒng)每次登錄時(shí)自動(dòng)通過“el.exe”加載運(yùn)行“B.txt”的計(jì)劃任務(wù)。

　　實(shí)際上，木馬安裝目錄(“C:ProgarmDataReferences”)下的三個(gè)TXT后綴的文件均是一種易語言編譯的特殊易包程序，三個(gè)程序模塊分工明確、互相配合。其中，“C.txt”負(fù)責(zé)以服務(wù)的形式駐留系統(tǒng)并啟動(dòng)“FHQ.TXT”。

　　“FHQ.TXT”運(yùn)行后會(huì)通過進(jìn)程快照監(jiān)控進(jìn)程列表，當(dāng)啟動(dòng)的進(jìn)程路徑包含下列安全軟件目錄時(shí)，則會(huì)把該路徑加入一張過濾列表中進(jìn)行對(duì)抗。

　　“B.txt”是本木馬最核心的工作模塊，主要負(fù)責(zé)監(jiān)控商家的支付密碼并提供遠(yuǎn)程控制功能幫助黑客進(jìn)行轉(zhuǎn)賬盜錢。該模塊啟動(dòng)后，會(huì)通過查找千?？蛻舳说拇翱诮M件來對(duì)商家操作進(jìn)行監(jiān)控。

　　監(jiān)控的目標(biāo)是客戶端中可能出現(xiàn)的賬號(hào)密碼輸入，在如下“B.TXT”中內(nèi)置的一份監(jiān)控列表中可以看出，大部分的目標(biāo)指向是支付寶的支付密碼。

　　拿到支付密碼后，黑客就可以通過木馬模塊的遠(yuǎn)程控制功能來進(jìn)行轉(zhuǎn)賬盜錢的操作了。每次啟動(dòng)后，木馬會(huì)嘗試連接內(nèi)置的一份C&C地址列表，本例“B.TXT”樣本中主要內(nèi)置2個(gè)控制域名分別是“mostere.com”和“huanyu3333.com”，控制端口為3500-3509。

　　遠(yuǎn)程控制功能包含一個(gè)核心的輔助轉(zhuǎn)賬功能，該功能的實(shí)現(xiàn)原理是借助一個(gè)第三方瀏覽器，創(chuàng)建一個(gè)對(duì)商家隱藏但對(duì)黑客可見的瀏覽器操作窗口。在商家登錄千牛時(shí)，其會(huì)利用千牛客戶端提供給瀏覽器的便捷登錄功能，來進(jìn)行免密快速登錄。如下是黑客啟動(dòng)瀏覽器后，對(duì)瀏覽器進(jìn)行圖標(biāo)隱藏并將窗口位置移出桌面正常顯示范圍的操作：

　　借助這個(gè)隱藏的瀏覽器，黑客可以遠(yuǎn)程操作進(jìn)行一鍵登錄商家的支付寶賬戶，暗中轉(zhuǎn)走商家的賬戶資金。和以往常見的支付寶“暗雷”木馬不同，此盜竊過程不需要對(duì)用戶進(jìn)行二次誘騙，完全由黑客遠(yuǎn)程進(jìn)行監(jiān)控和操作，因此隱蔽性和危害性更強(qiáng)。

　　在網(wǎng)警提供的受害商家木馬安裝目錄中，提取輔助瀏覽器的歷史記錄可發(fā)現(xiàn)，作案黑客通過該方式暗中對(duì)受害商家進(jìn)行了多次轉(zhuǎn)賬操作，并且在轉(zhuǎn)賬之前還進(jìn)行過借款操作。

　　縱觀此次針對(duì)淘寶賣家的“訂單”木馬事件可見，商家只要在中招后繼續(xù)通過電腦進(jìn)行登錄、轉(zhuǎn)賬等操作，支付密碼就會(huì)暴露給黑客。同時(shí)，為了避免異地登錄等安全提示，黑客會(huì)利用千?？蛻舳说目旖莸卿浌δ芎鸵粋€(gè)隱藏的第三方瀏覽器，通過遠(yuǎn)程操控商家電腦進(jìn)行暗中盜取錢財(cái)。面對(duì)如此防不勝防的網(wǎng)絡(luò)威脅，用戶安全防護(hù)意識(shí)切忌放松警惕。

　　不過廣大用戶無需過分擔(dān)心，在360安全大腦的極智賦能下，360安全衛(wèi)士已實(shí)現(xiàn)針對(duì)該類木馬的全面攔截和查殺。為避免攻擊態(tài)勢(shì)再度蔓延，建議廣大用戶做好以下防護(hù)措施：

　　1、及時(shí)前往weishi.#，下載安裝360安全衛(wèi)士，強(qiáng)力查殺此類病毒木馬;

　　2、提高安全意識(shí)，為個(gè)人電子賬戶設(shè)置強(qiáng)密碼和多重驗(yàn)證;

　　3、定期檢測(cè)系統(tǒng)和軟件中的安全漏洞，及時(shí)打上補(bǔ)丁。

　　文件HASH

　　024fcea030ea331c75fbccbeaf98ea45nw_elf.dll

　　1c8f99d078e297b8727af42a390ad1b3B.TXT

　　735bf3d9af6e104e13943be5e3b98dcdC.TXT

　　68b90544ce30af5befc39731a93bfd60FHQ.TXT

　　C&C

　　mostere.com

　　huanyu3333.com

　　mostereses.com

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。