黑客利用金山WPS漏洞攻擊境外非法博彩網(wǎng)站 還冒充工行和騰訊
目前幾乎可以肯定發(fā)起攻擊的黑客是使用中文的黑客�,至于這使用中文的黑客是不是國(guó)內(nèi)的黑客還無(wú)法確定。
另外黑客的攻擊目標(biāo)是境外非法博彩網(wǎng)站�����,至于目的暫時(shí)不清楚,不知道是為了搞破壞還是想截留非法資金�����。
具有專業(yè)技能且目標(biāo)非常明確:
安全公司分析發(fā)現(xiàn)黑客使用的工具集比較復(fù)雜且屬于精心制作的����,顯然這是個(gè)黑客團(tuán)伙而不是單個(gè)黑客行為���。
該黑客團(tuán)伙使用復(fù)雜的工作流程實(shí)現(xiàn)持久化和自我更新,即感染目標(biāo)設(shè)備后可以隨時(shí)更新模塊實(shí)現(xiàn)惡意行為����。
攻擊目標(biāo)則主要是位于東南亞的非法博彩網(wǎng)站,目前有不少詐騙團(tuán)伙躲在東南亞尤其是菲律賓架設(shè)博彩網(wǎng)站��。
這些網(wǎng)站是黑客的主要目標(biāo)�����,但問(wèn)題在于通常這類非法博彩網(wǎng)站經(jīng)常被同行攻擊�����,因此安全防御不會(huì)特別差���。
那黑客怎么打開突破口呢?答案就是冒充金山向向詐騙團(tuán)伙發(fā)送帶毒電子郵件 , 里面包含虛假的WPS安裝包���。
冒充工行/騰訊:
虛假的安裝包里包含更新程序,黑客利用 WPS 更新程序的漏洞實(shí)現(xiàn)通信�,可以在目標(biāo)設(shè)備上執(zhí)行多種操作�。
要利用此漏洞需要修改注冊(cè)表�����,修改完成完成后黑客可以在目標(biāo)系統(tǒng)上獲得持久性并且可以控制更新過(guò)程等����。
安全公司分析發(fā)現(xiàn)黑客下發(fā)的惡意文件通過(guò)update.wps.cn分發(fā)���,這域名屬于金山但服務(wù)器IP地址卻對(duì)不上�����。
這說(shuō)明黑客在某些未知環(huán)節(jié)實(shí)現(xiàn)了劫持��,讓詐騙團(tuán)伙更新時(shí)下載的是惡意文件��,惡意文件還冒充各種大公司����。
例如有文件使用的簽名是騰訊公司��,有文件使用的名稱是工行的ICBC��,然后再檢測(cè)是否安裝360安全衛(wèi)士等。
這些行為多半用來(lái)忽悠詐騙團(tuán)伙避免未知文件引起關(guān)注����,檢測(cè)其他安全軟件應(yīng)該是用來(lái)使用對(duì)應(yīng)的應(yīng)對(duì)策略。
比較滑稽的是黑客還使用堅(jiān)果云網(wǎng)盤來(lái)分發(fā)內(nèi)容���,藍(lán)點(diǎn)網(wǎng)剛剛測(cè)試發(fā)現(xiàn)黑客已經(jīng)將登錄賬號(hào)和密碼都修改了��。
黑吃黑還是搞破壞:
對(duì)WPS來(lái)說(shuō)黑客此次利用的漏洞危害還是非常高的 , 所幸漏洞及時(shí)修復(fù)且黑客似乎并未向其他目標(biāo)發(fā)起攻擊����。
至于黑客為何要將目標(biāo)放在東南亞的非法博彩網(wǎng)站上暫時(shí)還不清楚�����,有可能是黑吃黑也有可能是進(jìn)去搞破壞�。
如果是黑吃黑黑客可能會(huì)收集信息想辦法將這些非法博彩網(wǎng)站的資金截留然后通過(guò)某種方式轉(zhuǎn)到自己的賬戶。
如果是搞破壞的話估計(jì)會(huì)在感染后將詐騙團(tuán)伙的數(shù)據(jù)刪除��,但通常這類網(wǎng)站跑路概率也很高說(shuō)不好就會(huì)被抓�����。
但無(wú)論是哪種目的后續(xù)的工作都不容易��,畢竟感染一臺(tái)非法博彩網(wǎng)站客服電腦后續(xù)還要想辦法感染其他設(shè)備。
由于安全公司無(wú)法找到黑客感染后的工作內(nèi)容���,所以具體是哪種目的以及后續(xù)的攻擊方法我們是沒(méi)法知道了���。
文章來(lái)源:山外的鴨子哥
在線咨詢
在線咨詢
0371-63319761