近期,360安全團隊監控到某掛馬攻擊團伙使用"雙殺"漏洞(CVE-2018-8174)攻擊用戶電腦,這是該漏洞首次在國內被大範圍使用。攻擊者通過在線廣告平臺隨機散佈攻擊頁面,網民瀏覽任意網頁(即使是知名站點)都有可能中招,設備被植入後門,成為攻擊者的肉雞。
目前,該團伙已被發現通過後門,進行盜取Steam賬號的操作。漏洞觸發後將下載一個Steam盜號木馬到計算機中並運行,該盜號木馬結束Steam進程並彈出一個偽造的Steam登陸框,受害者在偽造的登陸框中輸入的Steam帳號和密碼將被髮送到黑客服務器上。
盜號木馬確定這是正確的Steam帳號密碼之後,將彈出另一個偽造的對話框,該對話框以安全認證為由要求受害者輸入Steam綁定的郵箱帳號及密碼,同樣將又將帳號密碼發送到黑客服務器上。
利用廣告平臺監管不嚴的漏洞,攻擊者能夠以較低的成本達到較為廣的傳播效果;此外,通過廣告投放的條件來限制用戶訪問,也大大增加安全人員的分析難度。
該攻擊團伙常年使用網頁掛馬攻擊方法來散佈挖礦木馬、後門、網銀木馬等惡意軟件,僅僅在不久前就採用同樣的手段使用Flash漏洞(CVE-2018-4878)在多個新聞門戶網站上利用廣告進行掛馬,360安全團隊在發現該起攻擊後也及時進行了相關通報,並配合相關網站清除掛馬頁面。
這次掛馬使用的"雙殺"漏洞(CVE-2018-8174)是360高級威脅應對團隊在上個月的一起0day漏洞攻擊事件中率先發現的。微軟修補該漏洞後,PoC代碼隨之被公開在網上。目前360安全團隊已經監控到國外流行的漏洞攻擊包RigEK加入該攻擊代碼,並開始有國內網民受到攻擊。而這次國內的黑產從業者也反應較快,迅速地利用該漏洞進行攻擊。
該漏洞是目前最新的IE瀏覽器漏洞,補丁出現的時間較短,因此危害較大,預計未來仍然會被持續用於網絡掛馬攻擊。360安全團隊提醒網民及時為電腦打補丁, 360安全衛士也已針對該漏洞提供全方位的保護功能,請網民注意防護,以免電腦變黑客肉雞!
閱讀更多 FocusOne 的文章
