近日,安全軟件提供商火絨發(fā)布了一項(xiàng)技術(shù)分析報(bào)告,揭示了QQ音樂平臺(tái)遭遇的一次復(fù)雜網(wǎng)絡(luò)攻擊事件。此次攻擊中,不法分子巧妙運(yùn)用了“白加黑”技術(shù),將QQ音樂的官方網(wǎng)站劫持,用于推廣非法傳奇私服游戲。
據(jù)火絨威脅情報(bào)中心監(jiān)測,QQ音樂軟件的安裝目錄下出現(xiàn)了異常的進(jìn)程自動(dòng)啟動(dòng)行為。經(jīng)過深入的技術(shù)溯源,專家們確認(rèn),這一異常進(jìn)程是由2021年版本的QQMusic.exe文件所觸發(fā)。
攻擊者的手法相當(dāng)狡猾,他們利用“白加黑”技術(shù),向QQMusic.exe文件中注入了惡意的DLL文件。這個(gè)DLL文件在被加載后,會(huì)解壓出一個(gè)專門用于劫持網(wǎng)頁的模塊,并安裝一個(gè)惡意驅(qū)動(dòng)。這一連串的操作,最終使得當(dāng)用戶訪問特定網(wǎng)址時(shí),會(huì)被重定向至非法傳奇私服游戲的發(fā)布頁面。
原本用戶期望訪問的是QQ音樂的官方網(wǎng)站,但在遭受劫持后,頁面卻變成了傳奇私服游戲的推廣信息。
這個(gè)惡意驅(qū)動(dòng)還具備相當(dāng)高的隱蔽性。它能夠檢測到ARK工具驅(qū)動(dòng),并對其進(jìn)行干擾,以隱藏自身的存在。同時(shí),該驅(qū)動(dòng)還會(huì)干擾安全軟件的正常通信,進(jìn)一步增加了檢測和清除的難度。
火絨對惡意DLL文件的執(zhí)行邏輯進(jìn)行了詳細(xì)分析,并將其劃分為三個(gè)階段。在初始階段,DLL文件會(huì)釋放并運(yùn)行傳奇私服程序,然后下載配置文件,并根據(jù)配置中的指令選擇后續(xù)的操作路徑。
接著進(jìn)入下載劫持模塊階段,根據(jù)配置的不同分支,DLL文件會(huì)負(fù)責(zé)下載并執(zhí)行劫持模塊。盡管第三個(gè)分支因無法成功下載文件而具體行為未知,但火絨仍將其歸類于這一階段。
最后是劫持模塊的執(zhí)行階段,該模塊會(huì)實(shí)施網(wǎng)頁劫持操作,將用戶訪問的指定網(wǎng)址重定向至非法傳奇私服游戲的發(fā)布頁面。
目前,火絨安全軟件已經(jīng)能夠攔截并清除上述病毒。用戶可以通過火絨安全產(chǎn)品獲取相關(guān)的防護(hù)和查殺服務(wù),同時(shí),火絨也提供了完整的技術(shù)分析報(bào)告,供感興趣的用戶深入了解此次攻擊事件的細(xì)節(jié)。
