之前,火絨安全團隊曾發現,多款軟件靜默推廣後門程序“眼睛守護神”,並將其捆綁安裝至用戶電腦後,通過遠程服務器下載病毒,並靜默推廣魯大師手機模擬大師等其它多款軟件。
而近期,火絨安全團隊又有所發現,即在用戶電腦中存在一批內置後門程序的軟件,其中包括萬能壓縮、起點PDF閱讀器、迷你看圖王、新速壓縮、直購助手等。
這些軟件通過雲控下發的模塊還會投放間諜木馬,該木馬被用來收集用戶瀏覽器歷史瀏覽記錄等信息或利用QQ登陸憑證竊取QQ身份信息。
簡單來說,這些軟件的後門程序威脅極大,其在用戶電腦中下發任意模塊並祕密運行。
後門程序加載目的
上述所提及的內置後門程序的軟件均是以企業爲主體進行開發的,並且經過分析得知,這些軟件內置的後門程序與行爲具有同源性,這也就意味着背後的攻擊者是一個黑灰產團伙的可能性極高。
用戶下載安裝這些桌面軟件後,開發商通過服務器對後門程序下達命令,被加載後的後門程序通過連接雲控服務器接收命令並隱祕執行。
這些桌面軟件的後門程序側重於收集用戶訪問的投訴類網站和財經類網站的詳細的網頁地址信息。監測並收集用戶訪問的投訴類網站是擔心用戶發起投訴,而收集財經類網站則是用來進行投資推銷。
作用對象
這些間諜木馬收集的財經類網站包括東方財富網、同花順財經、財聯社、新浪財經、騰訊財經、鳳凰財經等。
而通常訪問這類網站信息的用戶大都是股民等投資者,此時這些間諜木馬在此類網站上會盜取QQ信息達到收集包括用戶年齡、性別以及生日等隱私數據的目的。
因此,後門程序收集財經類網站信息的行爲大概率是以股民爲攻擊對象,進而針對所收集的具有投資傾向的用戶進行投資推銷。
目前,監管部門對非法投資薦股類保持高壓態勢,那麼所謂的股神們就需要更隱祕的渠道來進行推銷。
背後黑灰產作怪
火絨團隊分析發現這些間諜木馬具有同源性,表明着背後可能是同一個團伙,但這些軟件開發商有所不同。
例如,萬能壓縮系是上海嵩恆網絡科技股份有限公司開發,而新速壓縮是四川智領時代網絡科技有限公司開發的。迷你看圖王和淘購助手是四川悠閒的熊貓網絡科技有限公司開發,該公司與智領時代地址相近或許有所關聯。
但與崇恆網絡沒有關係,因此猜測間諜木馬極有可能是某個第三方公司開發,並通過這幾家公司的垃圾軟件進行推廣用來竊取用戶隱私。
這家第三方公司應該是專門從事黑灰產的公司,或許是通過收集竊取股民和投資者的資料再出賣給非法薦股團伙。
在網上搜索這些垃圾軟件可以看到大都是求助如何卸載,其實這些軟件本身也是通過其他渠道捆綁安裝。目前火絨安全已經直接查殺這些病毒,曾安裝過或現在正在使用這些軟件的用戶建議下載火絨安全進行全盤查殺。
點擊查看往期內容回顧
長按二維碼,關注我們
新睿雲,讓雲服務觸手可及
雲主機|雲存儲|雲數據庫|雲網絡
看都看完了,還不點這裏試試
