雷鋒網(wǎng)宅客頻道消息，據(jù)騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)某輸入法軟件及某網(wǎng)吧管理軟件內(nèi)嵌的廣告頁面遭遇網(wǎng)頁掛馬攻擊，這些軟件啟動時，會自動打開內(nèi)嵌的廣告頁面。

盜號木馬團(tuán)伙使用黑客技術(shù)精心構(gòu)造了含漏洞攻擊代碼的廣告（漏洞編號：CVE-2018-8174）。隨著廣告頁面呈現(xiàn)，漏洞攻擊代碼被觸發(fā)，更多惡意軟件被下載安裝。包括其他木馬下載器、Steam盜號木馬、廣告刷量木馬。 

相關(guān)數(shù)據(jù)表明，受掛馬影響的電腦超過5萬臺，其中有大約20%（即1萬余臺電腦）被安裝多個盜號木馬、廣告刷量木馬，以及木馬下載器。

具體攻擊過程：

受掛馬攻擊的軟件在請求廣告時會訪問掛馬廣告頁面

掛馬URL：hxxp://jx2.yknszc.cn/cn2/；www.hftg4j.cn:2002/index.html

該廣告頁面中被嵌入了惡意腳本代碼，代碼通過ASCII編碼，解碼后內(nèi)容為嵌入一個iframe，指向www5.hpx0.cn:2005/hpx02005.html(另一個受影響的軟件會指向hxxp://www6.hpq0.cn/hpq02006.html)

www5.hpx0.cn:2005/hpx02005.html中同樣是一段ASCII編碼的腳本，解碼內(nèi)容后發(fā)現(xiàn)其中包含CVE-2018-8174漏洞利用代碼，該漏洞影響多個版本的IE瀏覽器以及使用了IE內(nèi)核的應(yīng)用程序。

廣告模塊內(nèi)置的IE瀏覽器在訪問掛馬頁面時，觸發(fā)漏洞執(zhí)行了惡意代碼。

▲惡意腳本代碼

▲CVE-2018-8174漏洞利用代碼

漏洞觸發(fā)后執(zhí)行hxxp://www.mini00.com:8888/006.hta，該腳本通過powershell.exe繼續(xù)下載和執(zhí)行hxxp://www6.hpq0.cn:2006/2006.exe

有意思的是，通過病毒代碼分析，發(fā)現(xiàn)這起掛馬事件的始作俑者，會檢測受害電腦IP，如果位于北京上海廣東山東浙江五省市，就會停止進(jìn)一步產(chǎn)生危害。

對于用戶來說不必恐慌，只需及時安裝操作系統(tǒng)補(bǔ)丁即可。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。