近期�����,金山毒霸安全實驗室通過“捕風(fēng)”威脅感知系統(tǒng)的監(jiān)控數(shù)據(jù)�����,追蹤發(fā)現(xiàn)一款名為“心跳助手”的安卓手游模擬器軟件暗藏流量暗刷類病毒����。
比較特別的是����,病毒宿主進程被同時嵌入兩套流量暗刷插件,經(jīng)過病毒特征同源性分析�,我們確認(rèn)這兩套木馬插件分別是”JsCtrl”和”老裁縫”兩大暗刷病毒家族的最新變種����。
正如傳說中的”雙生花”���,一株二艷��,并蒂雙花����,在同一個枝蔓上相生相殺���,所以我們將本次爆發(fā)傳播的流量暗刷木馬命名為”雙生花”家族。
從我們的監(jiān)控數(shù)據(jù)看�,其中的”JsCtrl”變種通過JS腳本下載刷量模塊到本地內(nèi)存加載執(zhí)行,主要針對目標(biāo)為58同城����、百度糯米、百度的廣告推廣和SEO排名優(yōu)化���;
另外一款“老裁縫”變種通過多層的內(nèi)存模塊加載釋放后�,利用內(nèi)嵌的瀏覽器內(nèi)核和松鼠腳本引擎squirrel來操作加載模擬點擊��,主要針對目標(biāo)為愛奇藝、優(yōu)酷����、PPTV等主流視頻站點,通過暗刷視頻播放量從各大視頻平臺賺取廣告內(nèi)容分成����。
兩大暗刷木馬家族同時藏身”心跳助手”這款正常軟件實現(xiàn)”借尸還魂”,雖然”雙生花”暗刷木馬的合作傳播內(nèi)幕目前尚不完全清楚�����,但從某種角度來看����,這應(yīng)該算得上一次變相的軟件供應(yīng)鏈攻擊。
從” Putty后門事件”�、” XcodeGhost開發(fā)工具污染”到”Xshell后門”,軟件供應(yīng)鏈攻擊案例層出不窮�,官方軟件是否真的可信,正規(guī)軟件身份的黑白界限也越來越模糊�。
以本次”雙生花”暗刷病毒家族的傳播為例,根據(jù)我們的監(jiān)控數(shù)據(jù)回溯����,本次傳播攻擊從18年4月初開始出現(xiàn)��,早期變種只包含”JsCtrl”變種��,到1.1.18版本開始加入”老裁縫”最新變種�����。
憑借正規(guī)軟件外殼����,隱蔽性極強�,通過內(nèi)存加載和腳本機制實現(xiàn)全程無落地文件攻擊,在國內(nèi)多家安全軟件的眼皮下�,本次”雙生花”家族的傳播攻擊時間跨度已接近半年。
另外����,”流量暗刷”這種攻擊行為一直都是黑產(chǎn)流量變現(xiàn)的重要渠道手段之一��,虛假流量也在互聯(lián)網(wǎng)的各個行業(yè)渠道都能看到身影���,對于產(chǎn)品商業(yè)�����、業(yè)務(wù)安全的毒害影響之重已無需多言�。
對于產(chǎn)品廠商而言,這樣的模擬流量暗刷攻擊基本上完整模擬了用戶的操作過程����,從服務(wù)端進行有效鑒定識別非常困難,安全策略會被頻繁繞過�。
從我們的監(jiān)控數(shù)據(jù)看,近期針對各大廣告平臺�、資訊平臺、視頻平臺的流量攻擊愈發(fā)泛濫����,我們也非常歡迎愛奇藝、優(yōu)酷����、PPTV、58同城����、百度糯米等受影響廠商與我們聯(lián)系(關(guān)注我們的官方微信號” yucunsafe”回復(fù)即可),共同解決此類業(yè)務(wù)安全問題�����。目前,金山毒霸支持?jǐn)r截和查殺該病毒��。
查看詳細(xì)分析報告:
http://bbs./thread-23529773-1-1.html
|
