“臭名昭著”的網(wǎng)絡(luò)入侵手段——掛馬攻擊，正在伴隨著網(wǎng)絡(luò)技術(shù)的發(fā)展不斷進化出新的攻擊特征。近日，騰訊安全反病毒實驗室捕獲了一類通過網(wǎng)頁廣告掛馬方式傳播的惡意程序，木馬通過色情鏈接廣告誘導用戶點擊后，在受害者電腦上添加后門，同時還會運行數(shù)字貨幣挖礦的程序從中獲利。

　　據(jù)騰訊安全反病毒實驗室監(jiān)測發(fā)現(xiàn)，這類通過大型網(wǎng)站以及“激情視頻”等小型網(wǎng)站實施的“掛馬”攻擊存在新的發(fā)展態(tài)勢。結(jié)合騰訊電腦管家和哈勃分析系統(tǒng)的威脅感知數(shù)據(jù)，騰訊安全反病毒實驗室發(fā)現(xiàn)此輪掛馬攻擊在傳播方式、攻擊目標、盈利模式等方面都有了明顯變化，對用戶造成的威脅也更加嚴重。

新一輪掛馬攻擊已持續(xù)一年 或感染200萬電腦

　　據(jù)騰訊安全反病毒實驗室分析發(fā)現(xiàn)，此輪攻擊開始于2016年7月，已持續(xù)約一年，涉及到payload15個，各類域名72個，感染涉及全國31個省份近10萬用戶。其中山東、河南、江蘇、河北等省排名靠前。

(受感染省份前十名)

　　騰訊安全反病毒實驗室安全專家進一步指出，掛馬網(wǎng)站日訪問量峰值3.4萬，日感染量峰值高達0.68萬。同時由于網(wǎng)吧等使用場景的殺軟安裝率較低，導致實際感染量可能遠遠超過目前監(jiān)測到的10萬臺電腦。哈勃大數(shù)據(jù)預(yù)測，最嚴重情況下，木馬的感染量可達到200萬。

　　新聞門戶首當其中 “自運營”掛馬方式漸成主流

　　大規(guī)模的電腦感染量與掛馬攻擊多變的攻擊方式關(guān)系密切，據(jù)騰訊安全反病毒實驗室研究發(fā)現(xiàn)，此輪掛馬方式主要有“入侵掛馬”、“DNS劫持”、“廣告投毒”、“自建推廣”四種。每一種掛馬方式在破壞力、攻擊成本、攻擊效率等攻擊特征上都表現(xiàn)出明顯的“優(yōu)勢”。

　　其中， 對于“廣告投毒”而言，雖然需要較高的成本，但“效果良好”且技術(shù)成本不高，因此成為了不法分子的主要攻擊方式之一。據(jù)了解，“廣告投毒”系木馬集團通過在大型網(wǎng)站上投放廣告的方式，借助某些網(wǎng)站對于廣告審查不嚴格的空子，將自己帶毒的網(wǎng)頁代碼向用戶進行展示，并觸發(fā)用戶側(cè)瀏覽器的漏洞，達到大范圍傳播的目的。“廣告投毒”染指的網(wǎng)站類型也多種多樣，其中以新聞門戶類網(wǎng)站首當其沖，除此之外，導航網(wǎng)站、游戲動漫等二次元相關(guān)網(wǎng)站、視頻網(wǎng)站也受害嚴重。

(受影響的網(wǎng)站類型分布(已排除無法歸類的小網(wǎng)站))

　　除此之外， 騰訊安全反病毒實驗室還發(fā)現(xiàn)，掛馬攻擊的傳播方式已經(jīng)衍生出技術(shù)門檻較低的“自建推廣”模式，這種模式受外界環(huán)境影響較小，更簡單高效。不依賴其他網(wǎng)站漏洞，不依賴廣告渠道，適合大范圍推廣。

　　該種掛馬方式往往會在當下熱門的關(guān)鍵詞做文章，用戶搜索關(guān)鍵詞之后會搜索到“無毒”的網(wǎng)站，但是當用戶訪問之后，不法分子就會以“域名遷移提醒”的方式引導用戶訪問真正“含毒”的網(wǎng)站。同時，不法分子為了增加感染量，使用了“明槍暗箭”雙管齊下的方式進行傳播，即使瀏覽器沒有漏洞，也會引導用戶下載偽造的播放器傳播病毒。

(“無毒”網(wǎng)站)

(域名遷移提醒到“有毒”網(wǎng)站)

　　盈利模式多種多樣 游戲黑產(chǎn)坐上“頭把交椅”

　　在掛馬方式“推陳出新”的同時，不法分子為了進一步攫取利益，也制造了多種多樣的盈利模式。如偽造交友軟件欺騙用戶充值、推廣博彩類軟件天天棋牌游戲中心、推廣軟件、盜取游戲賬號等。

(偽造交友軟件欺騙用戶充值)

(通過在受害者電腦上安裝各種推廣軟件后，從軟件推廣商處分成)

　　其中，通過盜取游戲賬號盈利的模式已經(jīng)形成了系統(tǒng)的黑產(chǎn)鏈條。即使掛馬站長不參與洗號、金幣出售等下游環(huán)節(jié)，直接通過賣賬號信息就可以獲利不菲。以某知名網(wǎng)游為例，洗完的賬號經(jīng)過等級過濾：85級以上價格：2.8元一個;40級以上價格：1.8元一個;沒過濾的價格：一個賬號0.2-0.5元。

(不法分子盜取游戲賬號之后的交易過程)

　　經(jīng)騰訊安全反病毒實驗室估算，游戲黑產(chǎn)在黑產(chǎn)盈利中的比例明顯上升，已經(jīng)超過軟件推廣，這和近些年游戲產(chǎn)業(yè)蓬勃發(fā)展有密不可分的關(guān)系。

　　面對猖獗的掛馬攻擊，目前騰訊安全反病毒實驗室已協(xié)同騰訊電腦管家和哈勃分析系統(tǒng)建立多維監(jiān)控系統(tǒng)，密切關(guān)注此輪掛馬攻擊的最新態(tài)勢。建議廣大用戶遇到不能確定風險的文件可以上傳到哈勃分析系統(tǒng)進行分析，同時保持騰訊電腦管家開啟，實時保護電腦安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。