雷鋒網(wǎng)宅客頻道消息，據(jù)騰訊御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)某輸入法軟件及某網(wǎng)吧管理軟件內(nèi)嵌的廣告頁面遭遇網(wǎng)頁掛馬攻擊，這些軟件啟動(dòng)時(shí)，會(huì)自動(dòng)打開內(nèi)嵌的廣告頁面。

盜號(hào)木馬團(tuán)伙使用黑客技術(shù)精心構(gòu)造了含漏洞攻擊代碼的廣告（漏洞編號(hào)：CVE-2018-8174）。隨著廣告頁面呈現(xiàn)，漏洞攻擊代碼被觸發(fā)，更多惡意軟件被下載安裝。包括其他木馬下載器、Steam盜號(hào)木馬、廣告刷量木馬。 

相關(guān)數(shù)據(jù)表明，受掛馬影響的電腦超過5萬臺(tái)，其中有大約20%（即1萬余臺(tái)電腦）被安裝多個(gè)盜號(hào)木馬、廣告刷量木馬，以及木馬下載器。

具體攻擊過程：

受掛馬攻擊的軟件在請(qǐng)求廣告時(shí)會(huì)訪問掛馬廣告頁面

掛馬URL：hxxp://jx2.yknszc.cn/cn2/；www.hftg4j.cn:2002/index.html

該廣告頁面中被嵌入了惡意腳本代碼，代碼通過ASCII編碼，解碼后內(nèi)容為嵌入一個(gè)iframe，指向www5.hpx0.cn:2005/hpx02005.html(另一個(gè)受影響的軟件會(huì)指向hxxp://www6.hpq0.cn/hpq02006.html)

www5.hpx0.cn:2005/hpx02005.html中同樣是一段ASCII編碼的腳本，解碼內(nèi)容后發(fā)現(xiàn)其中包含CVE-2018-8174漏洞利用代碼，該漏洞影響多個(gè)版本的IE瀏覽器以及使用了IE內(nèi)核的應(yīng)用程序。

廣告模塊內(nèi)置的IE瀏覽器在訪問掛馬頁面時(shí)，觸發(fā)漏洞執(zhí)行了惡意代碼。

▲惡意腳本代碼

▲CVE-2018-8174漏洞利用代碼

漏洞觸發(fā)后執(zhí)行hxxp://www.mini00.com:8888/006.hta，該腳本通過powershell.exe繼續(xù)下載和執(zhí)行hxxp://www6.hpq0.cn:2006/2006.exe

有意思的是，通過病毒代碼分析，發(fā)現(xiàn)這起掛馬事件的始作俑者，會(huì)檢測(cè)受害電腦IP，如果位于北京上海廣東山東浙江五省市，就會(huì)停止進(jìn)一步產(chǎn)生危害。

對(duì)于用戶來說不必恐慌，只需及時(shí)安裝操作系統(tǒng)補(bǔ)丁即可。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。