火绒安全实验室警告,部分2345导航站的弹窗广告携带能盗取QQ、Steam、WeGame等游戏平台账号的木马。该病毒利用IE浏览器和Flash漏洞,在用户无感知的情况下自动下载并运行,主要针对周末网吧游戏用户。受影响的Flash版本为21.0.0.180至31.0.0.160,涉及360、搜狗等主流浏览器。建议用户升级Flash版本或卸载,并注意杀毒防护。
4月1日, 火绒安全实验室发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。
据悉,这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。
火绒工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。
病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。
据了解,该病毒利用IE浏览器漏洞和Flash漏洞进行传播,受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其Flash控件是以上版本,都会被感染。
经常使用“2345导航站”的用户,请注意杀毒防范。
利用Flash漏洞多数国产浏览器中招:
目前Adobe Flash Player 依然还没死,没死的同时无数电脑上安装的还是旧版本依然还存在各种安全漏洞。
黑产团伙利用2345 网址导航投放病毒广告后直接向用户展示,用户无需进行任何点击就会被加载病毒模块。
用户在全程无感知下输入自己的游戏账号然后被盗号,黑产团伙显然也知道网吧各个软件版本都是非常老的。
而国内用户使用的国产浏览器例如搜狗浏览器、360 浏览器等如果Adobe Flash Player版本太低也会中招。
受影响的Adobe Flash Player 版本在21.0.0.180~31.0.0.160之间,建议用户使用卸载或及时升级版本。
专门针对各个热门游戏:
据火绒工程师分析此次攻击行为专门用来盗取热门游戏账号, 包括Steam平台及腾讯的WeGame平台账号。
此外包括但不限于英雄联盟、穿越火线、地下城与勇士等热门游戏都会被监控并将用户账号上传到服务器上。
黑产团伙不论针对的目标还是盗号的内容都指向游戏,看起来应该是想要盗取用户的账号进行洗号出售获利。
注册数千个域名用于动态域名:
火绒安全团队对黑产团伙进行溯源时发现有两家公司牵涉其中,但无法确定这些公司与黑产团伙是否有关联。
其中名为武汉跃谱腾科技有限公司的账号注册数千个无意义域名,而这些域名部分用来推广壮阳药类的广告。
通常注册如此多的域名主要是用于规避平台的封杀,例如在微信上诱导用户扫码时可以动态分流防止被监测。
巧合的是两家公司注册信息使用的是相同的邮箱,所以也有可能是企业资料泄露后被黑产团伙盗取恶意利用。
更新:据蓝点网查询此黑产团伙至少盗用二十余家公司信息注册域名,这些公司多集中在湖南和湖北两省份。
关于Flash Player的安全建议:
基于此插件的不安全性建议所有用户卸载并不要使用,如果要使用也尽可能的使用谷歌浏览器以确保安全性。
谷歌浏览器内置的Flash Player插件随浏览器版本升级,无需用户额外安装或者安装国内特供的带广告版本。
扫一扫
1430
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
