色情广告幕后黑手曝光 “擒狼”挂马团伙年入超千万
图片来源:东方IC
当肤白貌美的“美女交友”广告弹出在网页上,千万不要轻易点击,否则很有可能陷入“擒狼”木马的陷阱沦为黑产疯狂敛财的工具。近日,360安全卫士率先拦截并披露了一起大规模网络色情广告挂马事件:一个名为“擒狼”的挂马团伙,利用网络色情等诱惑内容广告散播木马,劫持受害者浏览器并进行远程控制。安全专家经过分析木马并反攻黑客后台发现,“擒狼”隐藏着一条庞大而成熟的黑产链条,仅每年劫持浏览器获取的电商佣金就高达200余万元,如果再加上强锁主页等非法收入,该团伙每年黑色收益估算高达千万元。
所谓“挂马”,指的是黑客通过各种手段,向用户页面中加入恶意转向代码。当用户访问被加入恶意代码的页面时,就会自动访问被转向的地址或者下载木马病毒。
360追日团队发布分析报告指出,“擒狼”使用了近年来十分热门的挂马攻击包Kaixin exploit kit,该攻击包混合了Edge浏览器、IE浏览器、Flash等常用软件的多个漏洞。在没有及时打补丁或开启专业安全软件防护的情况下,电脑浏览挂马网页时就会自动下载运行木马。
暗藏“擒狼”木马的网络广告流量极大且诱惑性极高,360单日拦截此类攻击超过3万次,且拦截量一直处于快速上涨趋势。挂马团伙大量投放广告,则意味着其具有稳定的盈利模式和持续的开发体系。
通过溯源分析,360摸清了“擒狼”的底细:无论是技术手段还是黑产盈利模式,“擒狼”和网上曾经活跃的“一生锁页”浏览器锁定工具都十分相似。木马除劫持浏览器外,还通过静默安装推广程序、劫持电商推广等行为实现流量变现。“擒狼”团伙持续开发木马程序,推广者利用挂马和系统装机等方式诱导中招者下载木马,赚取的佣金则被双方分赃。
对普通网民来说,开启安全软件是防御挂马最有效的方法。如果发现浏览器主页被篡改为可疑网址、在网上购物时网址出现奇怪后缀等异常情况,很可能是“擒狼”木马作祟。鉴于该木马还具有远程控制能力,随时可以实施更恶劣的破坏或窃取隐私数据,电脑用户应尽快下载使用安全软件全盘扫描查杀木马,并把IE、Flash等常用软件升级到最新版本,以免遭遇更严重的损失。(新民晚报记者金志刚)