面對視頻觀看或軟體下載時不斷彈出的垃圾信息,再好的心情也會瞬間泡湯。當看到網上各類去廣告綠色純凈版的破解軟體,以為自己找到了福音;但事實卻可能是,一個更大的深坑暗藏其中!
近日,360安全大腦就監測到一批打著「純凈版、去廣告」等噱頭傳播遠控木馬的破解軟體,持續在網絡中橫行肆虐。
經360安全大腦分析發現,此次遠控木馬的傳播者對流行的迅雷、愛奇藝、obs studio錄像等軟體的破解版進行了二次打包,並在打包過程中悄然將利用cobaltstrike生成的木馬程序加入其中,最後再通過各類博客、網盤等方式進行傳播擴散,對廣大用戶的個人隱私及財產安全造成極大威脅。
目前,360安全大腦已經實現了對該木馬的查殺支持,建議近期使用過「迅雷X-10.1.34.800純凈優化版」、「愛奇藝視頻去廣告安裝版_h.msi」等軟體的用戶,儘快使用360安全衛士進行查殺。
破解軟體暗藏遠控木馬
一旦開啟電腦「秒黑」
經360安全大腦分析發現,此款遠控木馬的攻擊手法堪稱隱蔽至極。以破解版迅雷軟體為例,用戶在解壓運行「!綠化.bat」的批處理腳本,並安裝破解版迅雷後,「潛伏」已久的木馬程序也會自動「登陸」到用戶的計算機之中。
當用戶打開這款帶毒的「迅雷」後,Thunder.exe主程序會加載被黑客篡改過的ffmpeg.dll模塊。而後,該惡意模塊會再通過powershell運行木馬腳本payload.ps1。
其中,插入了攻擊代碼的ffmpeg.dll模塊會通過執行如下命令來調起payload.ps1腳本:
執行的payload.ps1木馬腳本里存有一串字符串,腳本會在對該字符串進行Base64解碼後,再進行一次異或解密,最終得到一段shellcode代碼以開啟下一步工作。
最終得到的shellcode代碼被執行後如下圖所示:
這段shellcode執行後會連接遠程地址108.61.160.106:4445,並等待遠程控制指令,這也意味著你的電腦此刻已被成功「攻陷」。遠端的控制者可通過下發各種指令來實現「瀏覽被控制客戶端的文件目錄、實現截屏、埠掃描、鍵盤記錄」等功能操作。
如此看來,或許剛安裝完這個「破解版迅雷」的你,可能還沒來得及用它下載完一部期盼已久的新片,你的電腦就已經被黑客遠程控制。這種憋屈的感覺,怎能不叫人對此病毒深惡痛疾!
廣東老鐵遭受「扎心暴擊」
360安全大腦實現全面查殺
值得注意的是,360安全大腦通過大數據分析,發現受影響用戶的區域分布範圍較廣。其中,廣東老鐵成為深受迫害的頭號目標,緊隨其後的依次為浙江、湖北和山東網友。
在安全形勢日益嚴峻的今天,層出不窮的網絡威脅日趨多樣化,類似接破解軟體為載體進行傳播的遠控木馬實際並非少數,嚴重危害到終端系統安全。
不過廣大用戶無需過分擔心,在360安全大腦的極智賦能下,360安全衛士可有效查殺該類遠控木馬。基於該類遠控木馬的潛伏性和廣布性,360安全大腦給出如下安全建議:
1、前往weishi.360.cn,下載安裝360安全衛士,對此類遠控木馬威脅進行有效查殺;
2、對於殺毒軟體報毒的程序,不要輕易添加信任或退出殺軟運行;
3、提高安全意識,建議從正規渠道下載軟體,如官方網站或360軟體管家等。
IOCs
SHA1
068bd461edb302bf32ccff7414c5de3cc7fcb539
6cb37b2c30fe36112fdc3074d18fae29773fe4fc
be24b36d8a3181a28e296ff7d7475eb47c1e7f7a
IP
108.61.160.106
CC
cs40a.microsoftup.life
cs313a.microsoftup.life
cs313a.microsoftup.xyz
文章來源: https://twgreatdaily.com/zh/vl5ZzXIBd4Bm1__YmlPH.html