腾讯安全反病毒实验室起底新一轮“挂马”黑产 200万用户或遭感染
“臭名昭著”的网络入侵手段——挂马攻击,正在伴随着网络技术的发展不断进化出新的攻击特征。近日,腾讯安全反病毒实验室捕获了一类通过网页广告挂马方式传播的恶意程序,木马通过色情链接广告诱导用户点击后,在受害者电脑上添加后门,同时还会运行数字货币挖矿的程序从中获利。
据腾讯安全反病毒实验室监测发现,这类通过大型网站以及“激情视频”等小型网站实施的“挂马”攻击存在新的发展态势。结合腾讯电脑管家和哈勃分析系统的威胁感知数据,腾讯安全反病毒实验室发现此轮挂马攻击在传播方式、攻击目标、盈利模式等方面都有了明显变化,对用户造成的威胁也更加严重。
新一轮挂马攻击已持续一年 或感染200万电脑
据腾讯安全反病毒实验室分析发现,此轮攻击开始于2016年7月,已持续约一年,涉及到payload15个,各类域名72个,感染涉及全国31个省份近10万用户。其中山东、河南、江苏、河北等省排名靠前。
(受感染省份前十名)
腾讯安全反病毒实验室安全专家进一步指出,挂马网站日访问量峰值3.4万,日感染量峰值高达0.68万。同时由于网吧等使用场景的杀软安装率较低,导致实际感染量可能远远超过目前监测到的10万台电脑。哈勃大数据预测,最严重情况下,木马的感染量可达到200万。
新闻门户首当其中 “自运营”挂马方式渐成主流
大规模的电脑感染量与挂马攻击多变的攻击方式关系密切,据腾讯安全反病毒实验室研究发现,此轮挂马方式主要有“入侵挂马”、“DNS劫持”、“广告投毒”、“自建推广”四种。每一种挂马方式在破坏力、攻击成本、攻击效率等攻击特征上都表现出明显的“优势”。
其中, 对于“广告投毒”而言,虽然需要较高的成本,但“效果良好”且技术成本不高,因此成为了不法分子的主要攻击方式之一。据了解,“广告投毒”系木马集团通过在大型网站上投放广告的方式,借助某些网站对于广告审查不严格的空子,将自己带毒的网页代码向用户进行展示,并触发用户侧浏览器的漏洞,达到大范围传播的目的。“广告投毒”染指的网站类型也多种多样,其中以新闻门户类网站首当其冲,除此之外,导航网站、 游戏 动漫等二次元相关网站、视频网站也受害严重。
(受影响的网站类型分布(已排除无法归类的小网站))
除此之外, 腾讯安全反病毒实验室还发现,挂马攻击的传播方式已经衍生出技术门槛较低的“自建推广”模式,这种模式受外界环境影响较小,更简单高效。不依赖其他网站漏洞,不依赖广告渠道,适合大范围推广。
该种挂马方式往往会在当下热门的关键词做文章,用户搜索关键词之后会搜索到“无毒”的网站,但是当用户访问之后,不法分子就会以“域名迁移提醒”的方式引导用户访问真正“含毒”的网站。同时,不法分子为了增加感染量,使用了“明枪暗箭”双管齐下的方式进行传播,即使浏览器没有漏洞,也会引导用户下载伪造的播放器传播病毒。
(“无毒”网站)
(域名迁移提醒到“有毒”网站)
盈利模式多种多样 游戏黑产坐上“头把交椅”
在挂马方式“推陈出新”的同时,不法分子为了进一步攫取利益,也制造了多种多样的盈利模式。如伪造交友软件欺骗用户充值、推广博彩类软件天天棋牌游戏中心、推广软件、盗取游戏账号等。
(伪造交友软件欺骗用户充值)
(通过在受害者电脑上安装各种推广软件后,从软件推广商处分成)
其中,通过盗取游戏账号盈利的模式已经形成了系统的黑产链条。即使挂马站长不参与洗号、金币出售等下游环节,直接通过卖账号信息就可以获利不菲。以某知名网游为例,洗完的账号经过等级过滤:85级以上价格:2.8元一个;40级以上价格:1.8元一个;没过滤的价格:一个账号0.2-0.5元。
(不法分子盗取游戏账号之后的交易过程)
经腾讯安全反病毒实验室估算,游戏黑产在黑产盈利中的比例明显上升,已经超过软件推广,这和近些年游戏产业蓬勃发展有密不可分的关系。
面对猖獗的挂马攻击,目前腾讯安全反病毒实验室已协同腾讯电脑管家和哈勃分析系统建立多维监控系统,密切关注此轮挂马攻击的最新态势。建议广大用户遇到不能确定风险的文件可以上传到哈勃分析系统进行分析,同时保持腾讯电脑管家开启,实时保护电脑安全。