您的位置: 旅游网 > 女人

顺藤摸瓜一个专黑建筑行业的QQ黏虫团伙现最新top-iyiou

发布时间:2019-06-19 13:12:13

顺藤摸瓜:一个专黑建筑行业的黏虫团伙现形记

前言

粘虫是已经流行多年的盗号木马,它会伪装登陆界面,诱骗受害者在钓鱼窗口提交账号密码。近期,360QVM引擎团队发现一支专门攻击建筑行业人群的粘虫变种,它伪装为招标文档,专门在一些建筑/房产行业聊天群里传播。

由于此木马样本带有其服务器数据库信息,木马生成器和一个小有规模的幕后团伙也因此而暴露出来。

传播途径

根据友举报和样本关联分析,此粘虫木马主要是活跃在建筑/房产行业的聊天群中,从样本信息也可以发现,木马攻击的目标就是建筑房产从业者。

部分样本文件名:

通过络搜索,部分文件名确实是曾经或正在进行招投标的工程,对相关从业者具有一定迷惑性。

样本分析

样本双击执行后会弹窗告警,显示文件已损坏来迷惑受害者,实际上盗号木马已经在后台默默执行。

连接Mysql

通过检测窗口类TxGuiFoundation是否存在,如果存在则弹出账号异常的钓鱼窗口。

钓鱼窗口

通过Mysql语句将盗取的账号、密码、IP、address、UserID插入数据库

尽管粘虫木马的拦截查杀难度并不高,但是由于部分友电脑裸奔或是没有使用专业安全软件,从木马程序内置的数据库账号密码访问其数据库可以看到,竟有不少民中招,截至7月17日下午,该数据库统计的盗号数量已接近3000个:

在木马服务器数据库里,还有木马生成器的更新信息,从而可以获取到最新的木马变种下载地址。

生成器

界面

压缩格式

生成器支持将木马程序压缩成:R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG

团伙数据

此木马生成器会根据登录的用户名来管理各自生成的木马盗取的账号密码,支持删除和查看功能。从数据库中的数据来看,该木马团伙目前包括管理员在内,一共有14名成员。

对比

每个生成出来的木马文件都带有UserID,前面提到木马程序通过Mysql语句将盗取的账号密码插入数据库,语句中api_user就对应着UserID。不同用户生成出来的木马程序唯一的不同就是UserID,每个用户通过自己的ID生成木马,并且各自管理盗取成功的账号密码。

拦截统计

根据360安全卫士云主防的统计,该粘虫木马对广东、云南、河南、湖南、安徽等地区的用户攻击数量相对较高,用户只要开启360安全卫士即可拦截预防:

盗号危害

从这款伪装成招标文档的粘虫木马来看,其大面积对建筑房产行业的群进行投递传播。从文件名上来看,木马团队对投标项目做了相关的准备工作。

1. 木马制作

2. 木马售卖

3. 木马伪装相关招标文档打包

4. 潜伏进建筑/房产相关群,上传木马到群文件/发送群邮件

5. 管理盗取到的账号密码

之后,木马团伙很可能会验证账号清洗账号窃取资料,进行撞库攻击建立行业社工库,甚至进一步进行定向攻击黑市贩卖。

说到撞库,这种攻击方式也非常普遍。不法分子把盗取或采集的账号密码以及相关资料整理生成对应的字典表,利用它去批量登录其他站,从而得到一系列可以登录的用户账号。

在此提醒友,系统设置里不要勾选隐藏已知文件类型的扩展名,以免被文档图标的可执行程序蒙骗;如果在打开一些文件后出现了重新登录的提示,应警惕这很可能是木马作祟;在聊天群共享、盘等非可信来源下载络资源时,应保持安全软件处于开启状态,对陌生文件进行检测,确认安全后再打开。

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

盘点:7家挂牌新三板的智慧旅游服务商
运盛医疗:一年花十几个亿元布局心电
2012年成都生活服务Pre-A轮企业
猜你会喜欢的
猜你会喜欢的