360安全大腦監測發現“1378”和“850”用戶群體盜號

1.釣魚信息顯示

如果在搜索引擎中搜索關鍵詞“1378”和“850”，可以看到第一、第二搜索結果都被釣魚網站以廣告位的形式占據。

由于兩者是同一個域名，這里以1378為例。 當我們點擊廣告進入網站時，我們會發現這個釣魚頁面并沒有隱藏任何東西。 所有網頁鏈接均為 hxxp:///.exe。 目的只有一個，那就是讓用戶下載他們的釣魚客戶端。

然后我們檢查檢索信息。 當我們進入1378貼吧時，我們仍然可以看到釣魚廣告，而且它位于貼吧的頂部。 搜索引擎廣告位的釣魚效應進一步凸顯。

通過了解貼吧“1378”用戶群討論的一些信息，我們可以知道，存在大量充值玩游戲的釣魚目標用戶，也可以讓我們一睹這條黑色產業鏈的利潤。

最后結合360安全大腦的監控信息可以發現，還存在不少其他釣魚網站。

2.木馬行為分析

1378釣魚模塊和850釣魚模塊的方法基本相同。 這里我們以1378棋牌游戲為例。 該木馬的整體行為大致如下圖所示。

當用戶點擊桌面圖標時，首先啟動.exe，然后動態加載木馬模塊*.DLL。 此時木馬模塊檢測到主模塊名為.exe，就會執行持久化過程，防止木馬模塊被游戲原有的更新檢查所替換。 失去。

.exe更新完成后，將啟動游戲主程序.exe。 這時，*.DLL就會啟動真實賬戶盜取行為。 但在此之前，值得一提的是，整個木馬模塊的代碼編寫風格非常嚴謹，錯誤檢查和異常處理都做得非常好。 顯然，這不是一個新手，而是一個經過一番努力整理和策劃的木馬模塊。

如下圖不要網的釣魚游戲，判斷當前主模塊名稱為.exe后，會展開行為。

然后函數中創建了幾個線程，進行了多次HOOK，但最關鍵的還是HOOK棋牌游戲的模塊.dll。 該HOOK允許木馬作者直接獲取用戶的賬戶名和密碼。 MD5。

如下圖所示，輸入測試賬戶密碼并登錄，即可成功獲取我們測試時使用的賬戶名和密碼的MD5。

3、360安全衛士自動攔截，確保游戲賬號更安全

360安全大腦針對此類釣魚行為開展了專項排查，根據360安全大腦的威脅監測發現，棋牌游戲目前是釣魚活動的高危領域。 請用戶仔細檢查網頁的真實性，從官方、正規渠道下載游戲。

4. 附錄

Tags：釣魚 木馬 模塊 大腦 下圖