打著「免費清理殭屍粉」的口號的釣魚欺詐套路,早已屢見不鮮,沒想到最近老套路又有了新玩法,近期,360安全大腦發現一名為「微信官方清理殭屍粉」的釣魚軟體再度活躍起來,導致大批不明真相網友上當受騙。
經360安全大腦分析發現,該釣魚軟體以「微信官方清理殭屍粉」為噱頭,引誘用戶授權登錄網頁版/客戶端微信,進而通過惡意利用、盜號等手段,實施釣魚欺詐,不幸中招用戶微信,出現了自動添加好友、群發廣告、自動向好友發送借錢消息等多種情況。
釣魚迷惑行為大賞
「官方清理殭屍粉」步步設陷
實際上,利用「清理微信殭屍粉」實施釣魚騙局的這一手法不算罕見。但在這一釣魚軟體中,360安全大腦發現釣魚軟體作者添加了大量的迷惑信息干擾用戶判斷。
比如,釣魚軟體作者添加了當用戶在下拉網頁時提示信息為「此網頁由 mp.weixin.qq.com 提供」的極具迷惑性的提示,並將自己偽裝成「官方清粉團隊」,甚至還網頁中添加了投訴按鈕。
當用戶點擊投訴按鈕後,便提示「微信官方團隊已受理投訴」的迷惑信息進一步以假亂真,不明覺厲的用戶便會為誤以為真。
更讓用戶深信不疑的是,釣魚軟體作者還在頁面上虛假標註了 「360網站安全檢測,官方認證、可放心訪問」字樣…
360安全大腦對其代碼進行分析後,發現其釣魚欺詐流程如下:
第一步:撒下誘餌
用戶按照視頻教程指導,點擊進入檢測地址的按鈕後,會首先請求:
vwl5djcoks72[.]cn/api/front/qrloginurl
47.113.201[.]90:3000/mm/getloginqrcode;
第二步:精心偽裝
此時頁面上會顯示「點擊開始檢測生成二維碼,掃碼登錄即可檢測」的提示。為了進一步偽裝,釣魚軟體作者添加偽裝「此網頁由 mp.weixin.qq.com提供」的提示,當用戶拖住頁面下拉時將會看到此信息,引導用戶誤認為這是微信官方提供的服務;
一旦用戶受騙掃碼了檢測二維碼,釣魚軟體作者就將根據獲取到的接口地址加上地區等參數請求返回微信登錄二維碼給用戶確認授權。
在這裡,為了精準獲取對應的區域信息,作者還使用了高德的IP定位API接口來獲取用戶地理位置,如:hxxp://47.113.201[.]90:3000/mm/getloginqrcode?u=3&op=false&pro=北京直轄市&city=北京市&img=true
作者使用到的高德API接口的Key為:6145fa3d371ec84a6a46e7eae849bcd2
hxxp://restapi.amap[.]com/v3/ip?key=6145fa3d371ec84a6a46e7eae849bcd2
第三步:魚兒上鉤
此時如果用戶使用手機拍照並掃描了這個二維碼,就會出現如下圖所示的確認登錄確認介面,一旦用戶點擊了這裡的確認登錄,微信就將會在釣魚作者控制的網頁端或電腦端登錄,等同於把個人微信的控制權和使用權拱手相讓。
教科書級的「騷操作」
令人猝不及防
在探究該釣魚軟體時,360安全大腦發現其作者為了防止「魚兒脫鉤」,還在更多細枝末節上做了精心設計,可謂是對用戶的心理拿捏的十分巧妙。
首先,為防止用戶自身手機端微信登錄狀態提示,意識到自身微信存在其它設備登錄而引起警覺,釣魚軟體作者特意添加了讓用戶等待1分鐘的提示。得以讓用戶暫時打消疑慮,保證釣魚軟體作者至少可以控制用戶微信1分鐘以上。
而在這1分鐘時間內,釣魚軟體作者可以通過自動化程序完成包括抓取用戶所有的微信好友信息、自動給好友群發廣告信息、添加一些營銷廣告好友以及關注一些營銷廣告的公眾號,甚至向用戶的好友發送借錢信息等大量惡意操作。
其次,通常情況下,如果用戶在微信上遭遇到欺詐信息,微信官方通常建議用戶在微信安全中心進行舉報投訴。在該釣魚軟體中,作者為了規避舉報投訴,甚至還偽造了微信安全中心介面,讓用戶投訴也做了無用功。
更值得注意的是,該釣魚軟體在獲取不慎中招的用戶微信登錄權限後,還會同時將包含釣魚軟體的二維碼海報發送給用戶全部好友,且不會留下發送記錄,最終形成病毒式傳播。
不怕城市套路深
360安全大腦陪你見招拆招
在對其代碼進行分析時,360安全大腦對惡意釣魚軟體作者所使用的IP進行了反查,反查發現其註冊了近200個用於此類釣魚的域名,其中部分域名如下:
對此,360安全大腦提醒廣大用戶:
1、建議下載使用360手機衛士進行安全防護,如遇可疑二維碼,可用360手機衛士的二維碼安全檢測功能進行安全性檢測;
2、提升安全防範意識,注意保護個人信息安全;
IOC信息
URLS:
hxxp://taehv52p3347[.]cn/9igqbviccdx/tutorial.html
hxxp://47.113.192[.]129:3000/mm/getloginqrcode hxxp://47.114.35[.]19:3000/mm/getloginqrcode
hxxp://vwl5djcoks72[.]cn/api/front/qrloginurl
使用的高德API接口KEY為:
6145fa3d371ec84a6a46e7eae849bcd2