当远控工具披上“财富外衣”，股民钱包告警在即

当今股市，不只水深，更有偷钱的“李鬼”招摇过市。近日，360政企安全反病毒团队独家发现一黑客团伙将远程管理软件，“变装”为高迷惑性的股票资料，精准诱导股民下载“投毒”，进而窃取银行账户资金，非法获利。




不过广大用户不必过分担心，在360安全大脑的极智赋能下，360安全卫士等系列产品可及时拦截、查杀该病毒木马，全方位保障用户隐私及财产安全。

远控木马搭上“炒股”顺风车

潜入股民电脑“兴风作浪”

360安全大脑监测数据显示，不法黑客团伙盯上了一款针对网吧运维行业开发的集中远程管理软件，该软件主要具有内网穿透、远程控制、自动连接、屏幕监控等功能。




该团伙将软件的受控端重新打包命名为“东莞证券持仓明细.exe”、“东方财富持仓明细.exe”、“国金证券持仓明细.exe”等与股票相关的名称，通过即时通信软件分发传播，以诱导不明真相的用户点击运行。




借助这种管理软件，该团伙可实现远控木马的功能，进而窃取用户隐私、盗取受害者股票账户资金。

360安全大脑统计数据显示，目前该木马已在国内多个省份广泛传播，其中广东、湖南两地的传播量较大，受影响也最为严重。

能远控的“李鬼”软件

终遭360安全大脑斩杀

对捕获的样本压缩包进行分析后，360安全大脑发现压缩包解压后释放的文件，主要是一远程管理软件受控端安装及配置文件。




文件列表如下图：

解压后的配置文件如下图：

相比于常规安装流程，程序会根据配置文件指令，通过命令行启动ykserver.exe，静默安装该软件受控端。一旦受控端安装成功，不法黑客团伙便可在控制端，直接远程控制中招电脑了。




安装结果如下图：

为了进一步验证攻击者是否能真的利用该远程管理软件进行电脑端控制行为，360政企安全反病毒团队分析人员从软件官网下载了控制端和受控端进行测试。




首先，进行一般软件的常规注册和登录工作。登录后便可看到控制端的控制界面。

而其受控端（官方称其为“服务端”）在安装完成后，则可见到其允许任意配置控制端的域名、端口、分组、密码等重要信息，而上述配置均可通过命令行和配置文件的形式进行脚本自动化配置，也就给不法黑客实施远控操作提供了“便利之门”。

成功安装受控端后，再返回到控制端界面，就可以看到刚才安装配置成功的受控端，并可轻松进行控制。

360安全大脑极速出击

截杀远控木马于无形

面对远程控制木马和等各类层出不穷的网络安全威胁，360安全大脑赋能下的新一代防护体系，先后推出了横向移动防护、软件劫持攻击、无文件攻击等各类应对高级威胁攻击的体系防护能力，以及应对RDP爆破攻击、web应用系统漏洞、webshell攻击等多项针对服务器的防护能力，不断为政企、个人等多端用户提供安全防护力。




同时，依托于2EB+全网大数据和快速分析发现能力，360安全大脑可第一时间发现软件劫持攻击，文件篡改攻击，供应链攻击等各类新生攻击事件，输出体系化防护能力。




360安全大脑持续监测到的各类攻击事件如下图：

在此基础上，“360安全大脑-主防威胁可视化平台”可持续对每日新出现的威胁事件进行聚合与可视化展示，精准实时呈现各种流行病毒、木马的攻击态势，并生成囊括病毒木马攻击趋势、相关网络与终端维度威胁情报数量以及生命周期的全维度数据，进而帮助技术分析人员高效掌握各类安全威胁，辅助人工分析、研判。

例：全方位呈现“匿影”僵尸网络的攻击趋势图

目前，在360安全大脑的强势赋能下，360安全卫士等系列产品可在第一时间拦截、查杀此类木马威胁。同时，面对诡诈多变的远控木马威胁，360安全大脑针对广大政企多端用户，给出如下安全建议：





1. 对于个人用户，可及时前往weishi.360.cn下载安装360安全卫士，强力查杀此类病毒木马；

2. 对于广大政企用户，可通过安装360终端安全管理系统，有效拦截木马病毒威胁，保护文件及数据安全，详情可通过400-6693-600咨询了解；而对于小微企业，则可直接前往safe.online.360.cn，免费体验360安全卫士团队版，抵御木马病毒攻击；

3. 企业360情报云的ioc检测、发现能力已经全面集成到本地大脑、asia、安全DNS等产品中，用户可以通过采购这些产品获取高效及时的最新威胁情报支持，提升安全产品防御能力；

4. 目前360沙箱云已对外提供公开服务，通过沙箱云可以快速准确对可疑样本完成自动化分析，帮助企业管理员更好应对企业内部面临的安全问题；

5. 对于安全软件报毒的程序，不要轻易添加信任或退出安全软件；

6. 提高安全意识，不随意打开陌生人发来的各种文件，如需打开务必验证文件后缀是否与文件名符合。

来源    360安全卫士