在剛剛過去的七夕中，萬千網(wǎng)購賣家憑借著一手“愛情牌”，占盡“甜蜜”商機。然而雖然一個個賣家賺得缽滿盆滿，但殊不知稍有不慎，就可能成為網(wǎng)絡黑手眼中的提款機。

　　近期，360安全大腦發(fā)現(xiàn)一款針對淘寶賣家的新型網(wǎng)銀木馬頻繁作案，此類木馬偽裝成發(fā)送給商家的“訂單”文件進行釣魚傳播，一旦用戶不慎打開，就可能面臨資金被盜風險。

　　經(jīng)溯源分析后，360安全大腦發(fā)現(xiàn)該作案黑客會借助一個隱藏的第三方瀏覽器窗口，和支付寶的快捷登錄功能實現(xiàn)對商家賬戶資金的操控。至少從去年12月份起，該木馬就已經(jīng)開始活躍，至今已有數(shù)千個淘寶商家遭受攻擊，廣東等沿海地區(qū)受災尤為顯著。

　　在發(fā)現(xiàn)該威脅的第一時間，360安全大腦便及時反饋支付寶官方人員，并在全網(wǎng)對此類木馬進行全方位查殺和攔截，建議中招商家盡快下載安裝360安全衛(wèi)士，保護個人數(shù)據(jù)及財產(chǎn)安全。

　　“訂單”木馬橫行網(wǎng)絡

　　躲避殺軟以假亂真

　　360安全大腦經(jīng)深入分析后發(fā)現(xiàn)，該作案黑客在淘寶店鋪里找到目標后，就會通過阿里旺旺發(fā)送給商家虛假的采購訂單文件作為誘餌，該文件可以利用官方的釘釘程序，來加載同目錄下捆綁了木馬的模塊“nw_elf.dll”。

　　為了躲避安全軟件的查殺，此模塊還特地使用了一個合法的數(shù)字簽名。

　　商家不慎點開后，狡猾的黑客還故意設計了一個欺騙性的提示彈出，讓用戶誤以為這個文件由于系統(tǒng)兼容性的問題沒有正常打開，降低其心理防備。

　　然而實際上，木馬已經(jīng)在后臺偷偷運行，并會在系統(tǒng)中安裝和啟動更多的后門模塊。

　　作案黑客遠程操控暗中盜財

　　難逃360安全大腦攔截查殺

　　木馬安裝時，會添加讓系統(tǒng)每次登錄時自動通過“el.exe”加載運行“B.txt”的計劃任務。

　　實際上，木馬安裝目錄(“C:ProgarmDataReferences”)下的三個TXT后綴的文件均是一種易語言編譯的特殊易包程序，三個程序模塊分工明確、互相配合。其中，“C.txt”負責以服務的形式駐留系統(tǒng)并啟動“FHQ.TXT”。

　　“FHQ.TXT”運行后會通過進程快照監(jiān)控進程列表，當啟動的進程路徑包含下列安全軟件目錄時，則會把該路徑加入一張過濾列表中進行對抗。

　　“B.txt”是本木馬最核心的工作模塊，主要負責監(jiān)控商家的支付密碼并提供遠程控制功能幫助黑客進行轉(zhuǎn)賬盜錢。該模塊啟動后，會通過查找千?？蛻舳说拇翱诮M件來對商家操作進行監(jiān)控。

　　監(jiān)控的目標是客戶端中可能出現(xiàn)的賬號密碼輸入，在如下“B.TXT”中內(nèi)置的一份監(jiān)控列表中可以看出，大部分的目標指向是支付寶的支付密碼。

　　拿到支付密碼后，黑客就可以通過木馬模塊的遠程控制功能來進行轉(zhuǎn)賬盜錢的操作了。每次啟動后，木馬會嘗試連接內(nèi)置的一份C&C地址列表，本例“B.TXT”樣本中主要內(nèi)置2個控制域名分別是“mostere.com”和“huanyu3333.com”，控制端口為3500-3509。

　　遠程控制功能包含一個核心的輔助轉(zhuǎn)賬功能，該功能的實現(xiàn)原理是借助一個第三方瀏覽器，創(chuàng)建一個對商家隱藏但對黑客可見的瀏覽器操作窗口。在商家登錄千牛時，其會利用千?？蛻舳颂峁┙o瀏覽器的便捷登錄功能，來進行免密快速登錄。如下是黑客啟動瀏覽器后，對瀏覽器進行圖標隱藏并將窗口位置移出桌面正常顯示范圍的操作：

　　借助這個隱藏的瀏覽器，黑客可以遠程操作進行一鍵登錄商家的支付寶賬戶，暗中轉(zhuǎn)走商家的賬戶資金。和以往常見的支付寶“暗雷”木馬不同，此盜竊過程不需要對用戶進行二次誘騙，完全由黑客遠程進行監(jiān)控和操作，因此隱蔽性和危害性更強。

　　在網(wǎng)警提供的受害商家木馬安裝目錄中，提取輔助瀏覽器的歷史記錄可發(fā)現(xiàn)，作案黑客通過該方式暗中對受害商家進行了多次轉(zhuǎn)賬操作，并且在轉(zhuǎn)賬之前還進行過借款操作。

　　縱觀此次針對淘寶賣家的“訂單”木馬事件可見，商家只要在中招后繼續(xù)通過電腦進行登錄、轉(zhuǎn)賬等操作，支付密碼就會暴露給黑客。同時，為了避免異地登錄等安全提示，黑客會利用千?？蛻舳说目旖莸卿浌δ芎鸵粋€隱藏的第三方瀏覽器，通過遠程操控商家電腦進行暗中盜取錢財。面對如此防不勝防的網(wǎng)絡威脅，用戶安全防護意識切忌放松警惕。

　　不過廣大用戶無需過分擔心，在360安全大腦的極智賦能下，360安全衛(wèi)士已實現(xiàn)針對該類木馬的全面攔截和查殺。為避免攻擊態(tài)勢再度蔓延，建議廣大用戶做好以下防護措施：

　　1、及時前往weishi.#，下載安裝360安全衛(wèi)士，強力查殺此類病毒木馬;

　　2、提高安全意識，為個人電子賬戶設置強密碼和多重驗證;

　　3、定期檢測系統(tǒng)和軟件中的安全漏洞，及時打上補丁。

　　文件HASH

　　024fcea030ea331c75fbccbeaf98ea45nw_elf.dll

　　1c8f99d078e297b8727af42a390ad1b3B.TXT

　　735bf3d9af6e104e13943be5e3b98dcdC.TXT

　　68b90544ce30af5befc39731a93bfd60FHQ.TXT

　　C&C

　　mostere.com

　　huanyu3333.com

　　mostereses.com

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。