鲁达 近期360安全大脑监测到大量针对浏览器的劫持攻击,中招用户的浏览器被静默安装了恶意扩展(如时钟提醒、今日惠购、页游等),然后浏览网页时莫名跳转到指定网站。
目前该恶意扩展已劫持超过2600个网站,并且对于部分网站,它还把作恶开始、结束时间指定在下班或深夜时段,已经累计超过百万用户受到影响。经360安全大脑追踪分析,该恶意扩展主要通过一款叫做游迅游戏盒子的软件植入用户电脑。
部分中招用户实例:
1)中招用户访问淘宝,会被劫持跳转到带ID的天猫链接:
2)还有部分用户访问hao123导航,被劫持跳转到带ID的2345导航:
3)QQ游戏、4399、7k7k等常见游戏网站被劫持到一个棋牌游戏网站:
4)其它一些私服网站则全部劫持到该私服页面:
受影响区域分布:
广东、江苏、浙江、山东、辽宁等沿海地区的用户劫持受影响程度比较高。
行为分析:
样本:
安装说明中诱导用户退出杀软的提示
该游戏盒子程序主要通过游迅网进行传播,在其安装说明中诱导用户允许或关闭杀毒软件运行;游戏启动器在用户点击关闭按钮退出时则会下载执行配置文件中配置的伪装成刺激战场游戏的木马程序,该木马执行后判断杀软环境又会去云端(hxx)拉取恶意扩展在多个浏览器进行安装,并且云端还会不断变换扩展名称:
添加到浏览器中的部分恶意浏览器扩展(页游、时钟提醒、今日惠购等),如下图所示:
该扩展会随着浏览器的打开而在后台运行,从链接hxx;ver=读取json配置用于流量劫持的配置列表,同时为了防止被用户轻易发现,其在多个连接的劫持配置中还设置了进行劫持的时间段控制代码,在指定的时间段才会劫持;另外如果不在劫持时间段内则会通过一个触发机率控制参数“Odds”来控制触发劫持行为的机率。
云控读取劫持列表
redirectUrl方法跳转劫持页面代码片断
之后就会在后台跳转匹配其规则的链接,有的带上其自己的推广标识,有的甚至直接跳转到其自建的同类型的网站地址或下载链接,完成流量劫持;配置规则包含了电商、导航、页游、直播、下载站、彩票、私服等类型(如淘宝、天猫、京东、2345、hao123、知乎、携程、华为商城、苏宁易购等超过2600个网站链接)
劫持时间段分布
劫持规则示例
部分劫持规则截图:
360安全大脑提醒用户:
1、使用360安全卫士可拦截和阻止该木马的攻击,建议广大用户及时下载安装360安全卫士保护计算机安全;
2、对于杀毒软件报毒的程序,不要轻易选择添加信任或退出杀软运行;
3、如发现浏览器访问正常网站出现自动跳转到带计费链接的网站时尽快使用安全软件进行查杀;
4、建议用户选择正规渠道如360软件管家安装游戏,以免自己的电脑成为不法分子控制劫持的工具。
IOCs:
MD5:
825bc6a32ebc87a793e2e28801fa7954
82A6D4E42E3868D4E6EA978B2C81F532
Urls:
hxx[.]com/cgi;ver=27.0.0.1
hxx[.]com/cgi
hxx[.]cn/Instnew/Install
Crx ID:
mlpghoohnhjmflmlengdemipchgjodae