、概述

4月1日凌晨，火絨安全團隊發(fā)出警報，部分“2345導(dǎo)航站”首頁的彈窗廣告攜帶盜號木馬，該病毒會偷取QQ、游戲平臺（steam、WeGame）、知名游戲（地下城與勇士、英雄聯(lián)盟、穿越火線）的賬號。這是一次設(shè)計精巧、組織周密的大規(guī)模盜號行動，利用周末時間突然發(fā)起攻擊，主要目標(biāo)是網(wǎng)吧游戲用戶。

火絨工程師分析，部分“2345導(dǎo)航站”首頁右下角會彈出彈窗廣告（上圖紅色箭頭所指），該廣告頁面一經(jīng)彈出，即可自動下載病毒，無需用戶點擊。病毒下載鏈接自動激活后，首先訪問跳板網(wǎng)站“yyakeq.cn”（存放跳板腳本以及flash漏洞），然后再從“ce56b.cn”網(wǎng)站下載病毒，而盜取的QQ、游戲等賬號則被上傳到“zouxian1.cn”網(wǎng)站。

該病毒利用IE瀏覽器漏洞和Flash漏洞進行傳播，受影響Flash控件版本從21.0.0.180至31.0.0.160。所有使用360、搜狗等主流瀏覽器的用戶，如果其Flash控件是以上版本，都會被感染。

該病毒整個傳播鏈條及所涉相關(guān)企業(yè)、疑似團伙嫌疑人等信息，請閱讀后附的詳細分析報告。

二、樣本分析

近期，火絨發(fā)現(xiàn)2345、hao774等多個2345旗下導(dǎo)航站中廣告內(nèi)容帶有漏洞攻擊代碼。通過分析確認，我們初步認定2345旗下導(dǎo)航站被投毒。廣告內(nèi)容涉及瀏覽器漏洞和Flash漏洞，漏洞代碼執(zhí)行后會從C&C服務(wù)器（hxxps:// www.yyakeq.cn）下載執(zhí)行病毒代碼，現(xiàn)階段火絨發(fā)現(xiàn)的病毒代碼內(nèi)容多為盜號病毒。該漏洞攻擊只針對特定的推廣計費號，再聯(lián)系其廣告內(nèi)容“高價在線回收所有網(wǎng)游裝備/金幣”，我們推斷此次攻擊主要針對對象主要為網(wǎng)絡(luò)游戲人群，且針對性極強。2345導(dǎo)航站中相關(guān)廣告內(nèi)容和相關(guān)HTML代碼，如下圖所示：

2345導(dǎo)航站中相關(guān)廣告內(nèi)容和相關(guān)HTML代碼

從頁面代碼看，該廣告展示代碼的植入也非常“奇特”，因為廣告展示鏈接是硬編碼在頁面代碼中的。根據(jù)web.archive.org的抓取結(jié)果，該廣告展示代碼應(yīng)該于2019年3月25日至2019年3月28日期間首次上線，截至本報告撰寫時，該代碼仍然有效且漏洞和病毒邏輯仍可激活。惡意廣告內(nèi)容為被包含在iframe標(biāo)簽中的廣告頁面。頁面嵌套關(guān)系，如下圖所示：

病毒頁面嵌套調(diào)用關(guān)系

tj.html中首先會默認加載ad.html利用Flash漏洞進行攻擊，之后再根據(jù)瀏覽器的User Agent加載不同的IE漏洞利用代碼（banner.html或cookie.html）。相關(guān)代碼，如下圖所示：

頁面加載代碼

ad.html中的HTML代碼中包含有混淆后的JavaScript代碼。相關(guān)代碼，如下圖所示：

ad.html中的HTML代碼

ad.html中代碼會被先后解密兩次，最終得到漏洞調(diào)用代碼，根據(jù)漏洞利用代碼的調(diào)用邏輯，我們可以粗略確認受影響的Flash版本范圍為21.0.0.180 至 31.0.0.160之間。相關(guān)代碼，如下圖所示：

最終執(zhí)行的漏洞攻擊相關(guān)調(diào)用代碼

漏洞被觸發(fā)后，會調(diào)用遠程HTA腳本會從C&C服務(wù)器地址（hxxp://www.ce56b.cn/logo.swf）下載病毒數(shù)據(jù)到本地進行解密執(zhí)行，被解密后的病毒數(shù)據(jù)為下載者病毒。相關(guān)進程調(diào)用關(guān)系，如下圖所示：

漏洞觸發(fā)后的進程調(diào)用關(guān)系

病毒解密相關(guān)代碼，如下圖所示：

病毒解密代碼

banner.html和cookie.html最終也會執(zhí)行類似的遠程HTA腳本最終通過相同的C&C服務(wù)器地址下載執(zhí)行相同惡意代碼。相關(guān)代碼，如下圖所示：

解密遠程HTA腳本地址

漏洞觸發(fā)代碼

漏洞被觸發(fā)后，最終被下載執(zhí)行的下載者病毒會根據(jù)C&C服務(wù)器返回的配置（hxxp://www.ce56b.cn/tj.txt），下載盜號木馬到本地進行執(zhí)行。存在被盜號風(fēng)險的軟件包括：Steam游戲平臺、WeGame游戲平臺、騰訊QQ、地下城與勇士、穿越火線、英雄聯(lián)盟。相關(guān)配置，如下圖所示：

下載者病毒配置

騰訊QQ、地下城與勇士、穿越火線游戲的盜號木馬均為Delphi編寫，通過偽造游戲登陸界面，欺騙誘導(dǎo)用戶輸入游戲賬號密碼，獲取到賬號密碼會發(fā)送到遠程C&C服務(wù)器（hxxp://we.zouxian1.cn）。相關(guān)代碼，如下圖所示：

提交賬號與密碼

英雄聯(lián)盟、WeGame游戲平臺同樣也是通過偽造游戲的登陸界面，獲取用戶的游戲賬號和密碼，并且賬號密碼也會發(fā)送到遠程C&C服務(wù)器（hxxp://we.zouxian1.cn）。相關(guān)代碼，如下圖所示：

提交賬號與密碼

在盜取Steam游戲平臺賬號密碼 時，首先該病毒會釋放libsteam.dll到steam目錄下,并調(diào)用該動態(tài)庫的導(dǎo)出函數(shù)InstallHook 用于安裝全局鉤子。相關(guān)代碼，如下圖所示：

調(diào)用導(dǎo)出函數(shù)

該動態(tài)庫會安裝全局鉤子，用于將自身注入到steam進程，當(dāng)注入到steam進程后SteamUI.dll中TextEntry控件相關(guān)的函數(shù),用于截取用戶的賬號密碼輸入。注入部分代碼，如下圖所示：

安裝全局鉤子

HOOK SteamUI.dll用于截獲用戶的賬號密碼。HOOK 相關(guān)代碼，如下圖所示：

HOOK SteamUI.dll

被盜取的賬號，同樣也會發(fā)送到遠程C&C服務(wù)器（hxxp://zouxian1.cn）。相關(guān)代碼，如下圖所示：

提交賬號與密碼

三、溯源分析

本次報告過程中獲取到的可溯源信息包括網(wǎng)馬信息和病毒相關(guān)信息，下文分塊進行溯源分析。

網(wǎng)馬溯源

通過對域名yyakeq.cn和ce56b.cn的溯源，發(fā)現(xiàn)上述域名分別由名為“武漢躍譜騰科技有限公司”和名為“邵東綠設(shè)空間工程設(shè)計有限公司”的公司注冊，且兩公司還注冊了至少幾千個名稱看似毫無含義、近乎隨機生成的域名，其中一些域名指向頁面包含明顯的欺詐內(nèi)容（如下圖所示），所以不排除這些域名是想在未來用作C&C服務(wù)的DGA（Dynamic Generation Algorithm）域名。

其中一個域名指向的頁面內(nèi)容

yyakeq.cn域名注冊信息

ce56b.cn域名注冊信息

部分疑似DGA域名

部分疑似DGA域名

盜號病毒溯源

通過對盜號病毒收集URL的Whois查詢，可以得到如下信息：

域名zouxian1.cn注冊信息

另外通過該域名注冊信息的聯(lián)系人和聯(lián)系郵箱反查，此人以同樣的命名方式于2018年4月20日共注冊了15個近似域名：

域名注冊反查結(jié)果

另外，通過ICP備案查詢發(fā)現(xiàn)，其中部分域名還經(jīng)過了ICP個人備案：

ICP備案查詢結(jié)果

并且同日（2018年4月20日），此人還用同樣的QQ郵箱（2659869342@qq.com）和不同的姓名注冊了另外兩個形式與前述域名相似的域名，如下圖所示：

域名注冊反查結(jié)果

四、附錄

文中涉及樣本SHA256：

*本文作者：火絨安全，轉(zhuǎn)載自FreeBuf.COM

何支持開源開發(fā)者？捐贈還是廣告？多個流行的 NPM JS 庫選擇了廣告。

作者/來源： 安華金和

如何支持開源開發(fā)者？捐贈還是廣告？多個流行的 NPM JS 庫選擇了廣告。

core-js 的作者通過廣告推銷自己，而 Standard 的作者則決定在安裝時展示廣告，這些做法都引發(fā)了爭議。Standard 是一個 Javascript 風(fēng)格指南庫，每月下載量大約 300 萬次，開發(fā)者 Feross Aboukhadijeh 表示這是一項實驗，旨在找到支持開源開發(fā)的可持續(xù)方法。他表示，在安裝 Standard 14 會展示贊助商的信息，贊助費用直接支付了維護時間，包括新功能、修正、回答用戶提問和改進文檔。

來源：solidot.org

更多資訊

提升安全性：微軟為 Chromium Edge 推出除蟲賞金項目外媒報道稱，微軟已經(jīng)為基于 Chromium 內(nèi)核開發(fā)的新版 Microsoft Edge 瀏覽器，推出了一個全新的除蟲賞金（bug bounty）項目。如果提交的安全漏洞報告的質(zhì)量足夠高，該公司將給出高達 3 萬美金（21.4 萬+ RMB）的獎勵。

來源：cnBeta.COM

詳情鏈接： https://www.dbsec.cn/blog/article/4979.html

英國網(wǎng)絡(luò)安全機構(gòu)督促開發(fā)者淘汰 Python 2NCSC 稱，如果你維護了一個其他人依賴的庫，你可能會阻止其他人更新到 Python 3。如果你無法將代碼升級到 Python 3，一個選擇是付費給商業(yè)公司繼續(xù)支持 Python 2。NCSC 以勒索軟件 WannaCry 舉例說明使用不再支持的軟件會發(fā)生什么。

來源：solidot.org

詳情鏈接： https://www.dbsec.cn/blog/article/4980.html

點餐買電影票都要個人信息 數(shù)據(jù)收集引發(fā)擔(dān)憂據(jù)《南華早報》報道，在深圳，很多時候沒有手機應(yīng)用就消費不了，比如在餐館要掃碼點餐。但如果你不同意分享個人信息，你就無法點餐或買電影票。數(shù)據(jù)隱私問題正日益引起公眾的擔(dān)憂。一天晚上，王曉旭（Wang Xiaoxu，音譯）和朋友們在深圳的一家餐館吃飯，由于她拒絕通過手機分享個人信息，點餐系統(tǒng)不讓她點餐。最后，又餓又沮喪的她和朋友離開。

來源：網(wǎng)易科技

詳情鏈接： https://www.dbsec.cn/blog/article/4981.html

開發(fā)者移除 11 個 Ruby 庫中 18 個帶有后門的版本RubyGems 軟件包存儲庫的維護者近期移除了 11 個 Ruby 庫中出現(xiàn)的 18 個惡意版本，這些版本包含了后門機制，可以在使用 Ruby 時啟動加密貨幣挖掘程序。惡意代碼最初發(fā)現(xiàn)于 4 個版本的 rest-client 庫中，rest-client 是一個非常流行的 Ruby 庫。

來源：開源中國

詳情鏈接：https://www.dbsec.cn/blog/article/4982.html

（信息來源于網(wǎng)絡(luò)，安華金和搜集整理）

點擊“了解更多”可訪問文內(nèi)鏈接