当“云上拜年”成为风尚,网络黑产也开始了新一轮的敛财行动。近日,360安全大脑监测发现,各类围绕棋牌游戏的远控木马再度活跃。不法分子通过即时通信软件或钓鱼网址等渠道,传播被恶意捆绑了远控木马的虚假游戏安装包,借机敛财。
360安全大脑数据显示,本次传播的远控木马已在国内多个省份进行传播,其中北京、河北两地惨遭重创,同时福建、广西、上海、广东、河南、江西等地也均有用户中招。面对汹涌来袭的远控木马威胁,360安全大脑提醒广大用户提高警惕。广大企业级用户可使用360终端安全管理体系,抵御此类威胁,度过一个安全祥和的春节。
春节“宅经济”催生游戏热
远控木马闻风趁势作乱
事实上,每逢春节假期,二次打包捆绑远控木马等投“毒”活动都会异常活跃。经360安全大脑分析,主要有以下几点原因:
01
用户基数大。疫情防控之下,春节催化“游戏热”,而以棋牌类应用为代表的游戏,既符合春节“云团圆”的属性,又是具有大众基础的游戏品类。因此,也就成为了不法分子捆绑远控木马等病毒的首选。
02
操作成本小。随着网络技术的普及,捆绑、投放木马等攻击技术,操作门槛变得越来越低,复制性却变得越来越高,导致此类攻击越发频繁。
基于上述原因,给个人乃至企业级用户的网络安全,提出了更高的要求。
经360安全大脑分析发现,由于部分游戏应用安装程序带有有效的数字签名,不法分子此次投放的远控木马躲避部分安全软件的检查。
在具体威胁上,远控木马释放完成后,攻击者可监控中招用户的游戏过程,实现游戏看牌、干扰游戏运行等作弊行为。不仅能影响游戏的胜负,还存在直接篡改用户操作或控制用户计算机转移游戏金币,进而牟利的行径。
在操控游戏转移游戏金币之外,攻击者还会通过木马收集用户账号等相关信息,具体如群消息、好友信息等数据。攻击者还会利用上述信息和网络接口,假冒受害人的名义,向好友发送有害信息,进一步扩散远控木马。
盗号监控敛财三手抓
远控木马“附身”棋牌游戏流窜
360安全大脑数据显示,“金游世界PC版”、“集结号游戏”、“博乐游戏”等棋牌类游戏,皆已沦为不法黑客植入远控木马,二次打包投毒的“工具”。
以“金游世界PC版”安装包为例,360安全大脑破解其作恶过程后发现,该远控木马启动后,会先展示一个游戏安装界面以掩人耳目。
实际在游戏安装界面的掩护下,木马安装包首先会偷偷创建一个C:\PerfLo文件夹,并设置该文件夹属性为系统、只读、隐藏。随后,会在%userprofile%\appdata文件下释放libEGL.exe和Cert.cer两个文件。最后,则会使用libEGL.exe将证书文件Cert.cer添加至系统信任证书列表以躲避查杀。
在完成上述操作后,远控木马会删除这些文件,并在C:\PerfLo下再次释放active.exe和QBCORE.dll 两个木马文件,并将主程序active.exe添加到启动项后执行。
active.exe启动后会创建傀儡进程Wextract.exe,然后注入恶意代码。
而被注入的代码,就是远控木马的功能主体。该代码具有盗号、关闭设备、获取键盘记录、录音、截屏、清理系统日志、添加自启动项、下载程序并运行、关闭UAC等大量控制功能。
此外,木马还会操作检查操作系统信息,以及系统中安装的安全软件等各种用户信息,上报信息给攻击者。
需要注意的是,攻击者还会清空浏览器访问记录,防止用户发现自己访问过钓鱼网站。
假期冲浪警惕“带毒”游戏
360安全大脑出击守卫新春安全
在网络安全环境越发复杂,木马等常规威胁亦趋向多变的背景下,政企多端用户面临的网络威胁远超以往,亟需建设新一代的网络安全能力体系。作为新时代的网络安全运营商,360政企安全集团以360安全大脑为核心,打造新一代的网络安全能力体系。
现阶段,面向政企用户推出360终端安全产品体系,通过360终端安全管理系统、360安全卫士团队版等产品,输出体系化全维度的安全防护。最后,面对此类远控威胁,360安全大脑给出如下安全建议:
1、广大政企用户,可通过安装360终端安全管理系统,有效拦截木马病毒威胁,保护文件及数据安全,详情可通过400-6693-600咨询了解;而小微企业,则可直接前往safe.online.360.cn,免费体验360安全卫士团队版,抵御远控木马等攻击;
2、不轻易打开即时通讯软件中传播的未知安全性文件; 3、对于安全软件报毒的程序,不要轻易添加信任或退出安全软件; 4、从官网或正规渠道下载安装游戏,警惕搜索引擎广告中推荐的游戏“官网”。