据火绒安全团队监测,周末有黑产团伙利用2345 网址导航向用户投毒,专门用来盗取各个热门游戏的账号,但这次攻击本身也不是普遍面向用户的范围特别大的攻击,黑产团伙主要选定网吧游戏用户作为攻击的目标,而周末恰好是网吧游戏用户活跃的高峰期因此大量用户遭到攻击,显然这也是个提前预谋好的恶意攻击活动。
利用2345网址导航进行投毒:
监测发现这次投毒行动仅在2345 网址导航的部分计费号上出现,推测可能这些计费返利号主要是网吧使用,而携带病毒的广告则是利用2345 网址导航广告模块进行投放的,所以网吧用户很大概率可以遇到这个广告,看起来很可能是黑产团伙通过2345 网址导航投放广告过审后,再修改广告加载的脚本和内容实现完整投毒。
利用Flash漏洞多数国产浏览器中招:
目前Adobe Flash Player 依然还没死,没死的同时无数电脑上安装的还是旧版本依然还存在各种安全漏洞,黑产团伙利用2345 网址导航投放病毒广告后直接向用户展示,用户无需进行任何点击就会被加载病毒模块,用户在全程无感知下输入自己的游戏账号然后被盗号,黑产团伙显然也知道网吧各个软件版本都是非常老的,而国内用户使用的国产浏览器例如搜狗浏览器、360 浏览器等如果Adobe Flash Player版本太低也会中招。
受影响的Adobe Flash Player 版本在21.0.0.180~31.0.0.160之间,建议用户使用卸载或及时升级版本。
专门针对各个热门游戏:
据火绒工程师分析此次攻击行为专门用来盗取热门游戏账号, 包括Steam平台及腾讯的WeGame平台账号,此外包括但不限于英雄联盟、穿越火线、地下城与勇士等热门游戏都会被监控并将用户账号上传到服务器上,黑产团伙不论针对的目标还是盗号的内容都指向游戏,看起来应该是想要盗取用户的账号进行洗号出售获利。
注册数千个域名用于动态域名:
火绒安全团队对黑产团伙进行溯源时发现有两家公司牵涉其中,但无法确定这些公司与黑产团伙是否有关联,其中名为武汉跃谱腾科技有限公司的账号注册数千个无意义域名,而这些域名部分用来推广壮阳药类的广告,通常注册如此多的域名主要是用于规避平台的封杀,例如在微信上诱导用户扫码时可以动态分流防止被监测,巧合的是两家公司注册信息使用的是相同的邮箱,所以也有可能是企业资料泄露后被黑产团伙盗取恶意利用。
更新:据Win10下载官网查询此黑产团伙至少盗用二十余家公司信息注册域名,这些公司多集中在湖南和湖北两省份。
关于Flash Player的安全建议:
基于此插件的不安全性建议所有用户卸载并不要使用,如果要使用也尽可能的使用谷歌浏览器以确保安全性,谷歌浏览器内置的Flash Player插件随浏览器版本升级,无需用户额外安装或者安装国内特供的带广告版本,同时也建议用户下载火绒开启主动防御功能防止病毒通过浏览器发动攻击,对于游戏账号尽量开启两步验证。