改广告有毒大规模播放器挂马攻击预警

广告有毒！大规模播放器挂马攻击预警

360云安全系统日前监测到一起大规模软件挂马攻击事件。受影响软件包括国内多款视频播放器，部分输入法及类客户端。攻击团伙通过页面广告，向软件内插入攻击代码，进而在用户设备上植入后门，后续进行勒索、挖矿、软件推广等多种恶意操作。目前，360安全卫士单日拦截的挂马攻击已达10万余次，且攻击情况还在蔓延，请用户尽快使用360安全卫士做好防护。

360云安全系统发现国内多款软件的广告页遭到挂马攻击。攻击团伙通过页面广告，向大量客户端软件资讯和窗中插入带有CVE-漏洞利用代码的挂马页面，漏洞利用代码执行后，在设备上植入后门，后续可能进行投放推广软件、植入挖矿木马或勒索病毒等恶意操作。

图1携带漏洞攻击代码的广告页面

受影响的软件包括暴风影音、风行播放器、SohuNews、万能看图王、智能云输入法等大量客户端软件，360安全卫士今日对该挂马攻击的拦截量已超过10万次。

以暴风影音为例进行分析，暴风影音的广告页hxxp://中插入了一个站长统计页面hxxp://139.224.225.117/m，而该页面中被插入了指向hxxp://107.150.50.34的ifram如果留下她e标签，hxxp://107.150.50.34最终会跳转到hxxp://222.186.3.73:8181/ml执行漏洞利用代码。

图2 广告页面被插入链接为hxxp://139.224.225.117/m的站长统计页面

图3 站长统计页面指向hxxp://107.150.50.34

图4 hxxp://222.186.3.73:8181/ml中的漏洞利用代码

漏洞利用代码将执行如下图所示命令，从hxxp://222.186.3.73:8591/wp32@e下载恶意程序到Temp文件夹并命名为e执行。

图4 漏洞利用代码执行的命令

e本质上是个Downloader，它会从hxxp://222.186.3.73:8591/e下载文件到计算机上执行，该程序是个后门程序，会加载恶意驱动并实现持续驻留，后续可能用于往受害者计算机中植入其他恶意软件。

经分析发现，该挂马事件与之前国内发生的多起广告页面挂马事件为同一团伙所为，该团伙在去年就曾通过暴风影音广告页面进行挂马攻击，向受害者计算机中强制安装流氓推广软件。而今年初，该团伙还曾通过同样的挂马攻击往受害者计暂不提价算机中植入挖矿木马牟利。

对此类挂马攻击，安全专家建议广大民及时更新系统补丁，并使用安全软件防护。目前，360安全卫士无需升级就可完美拦截此类挂马攻击。

360安全卫士下载地址：

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。