4月12日上午，騰訊御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)大量客戶端（包括某知名播放器、某知名視頻客戶端、某大師客戶端）的內(nèi)嵌新聞頁(yè)中被掛馬，會(huì)在用戶不知情的情況下植入木馬程序。本波掛馬波及到的客戶端多達(dá)50余款，其中不乏用戶量在千萬(wàn)級(jí)別的知名軟件，包含國(guó)內(nèi)10余款熱門電商軟件和某支付軟件等，影響范圍非常之廣。目前這波掛馬已經(jīng)波及20多萬(wàn)用戶。

此次掛馬風(fēng)暴下載的木馬有多個(gè)不同版本，危害行為包括推廣安裝軟件，操縱用戶電腦資源挖取門羅幣牟利，以及利用用戶電腦下載另一個(gè)遠(yuǎn)程控制木馬，對(duì)中毒電腦進(jìn)行長(zhǎng)期監(jiān)控等。

該掛馬攻擊可操縱中毒電腦挖取門羅幣

當(dāng)用戶打開(kāi)染毒軟件時(shí)，軟件內(nèi)嵌的新聞廣告頁(yè)會(huì)下載一個(gè)名為“2018最火美女直播秀”的廣告，由于該廣告頁(yè)已被植入病毒，最終用戶會(huì)訪問(wèn)到利用CVE-2016-0189漏洞進(jìn)行攻擊的網(wǎng)頁(yè)。此時(shí)如果該用戶的電腦存在安全漏洞，就會(huì)自動(dòng)下載功能強(qiáng)大的木馬并運(yùn)行。

此外，這次“412掛馬風(fēng)暴”最嚴(yán)重的風(fēng)險(xiǎn)在于部分染毒軟件用戶量巨大，且用戶在使用過(guò)程中并不會(huì)發(fā)現(xiàn)任何異常。如果用戶電腦存在安全漏洞，又沒(méi)有殺毒軟件的保護(hù)，中間將不會(huì)出現(xiàn)任何提示。

更危險(xiǎn)的是，如果用戶不幸中毒，當(dāng)其在使用電商軟件或者支付類型的軟件進(jìn)行交易時(shí)，該木馬會(huì)劫持交易，將用戶資金轉(zhuǎn)入特定賬戶，造成用戶嚴(yán)重的經(jīng)濟(jì)損失。

據(jù)悉，該木馬的攻擊行為并沒(méi)有結(jié)束，目前國(guó)內(nèi)受“412掛馬風(fēng)暴”影響最嚴(yán)重的省份包括山東（16%）、江蘇（10.3%）、廣東（9.3%）、河南（6.4%）、河北（6.4%）、遼寧（5.9%）、安徽（4.6%）等。

雷鋒網(wǎng)建議用戶盡快升級(jí)瀏覽器并及時(shí)安裝補(bǔ)丁，或者安裝安全軟件，攔截掛馬攻擊。

文章由騰訊御見(jiàn)威脅情報(bào)中心投稿，雷鋒網(wǎng)宅客頻道編輯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。