绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城 | 社区客户端

推荐论坛版块活动众测商城更多内容
想看的网页被遮挡、想买的商品被隐藏,甚至还可能暗藏恶意插件,稍不留神就会被盗取个人信息……恶意浏览器广告正威胁着广大网友的隐私及财产安全。



近期,360政企安全反病毒中心接到大批用户反馈,称访问网站被插入广告且部分无法关闭。经360安全大脑分析发现,此次事件是由浏览器恶意扩展劫持攻击,以及某压缩软件将广告附加到浏览器标签页所导致。



长期以来,浏览器恶意扩展主要是虚假产品主页通过搜索引擎竞价排名吸引流量,进而推广恶意下载器软件所致。一旦下载安装此类软件,启动后便会在静默状态下,向浏览器安装恶意扩展以劫持浏览器,而被推广的扩展则由此通过云控,在用户访问的其它网站中插入广告、并劫持跳转超过5000个网站。不过广大用户无需过分担心,在360安全大脑的极智赋能下, 360安全卫士可快速查杀此类威胁,清扫浏览器广告中潜藏的“毒瘤”。





静默“恶人”放大招

劫持网页放毒抢流量




360安全大脑数据显示,截止目前累计已有数十万用户受到影响。而在对反馈情况进行分析后,360安全大脑发现此次遭遇浏览器恶意扩展劫持攻击的用户,多在搜索引擎中搜索过一些较为热门的软件。




360社区

360社区



而某些恶意网站便会通过搜索引擎的竞价排名机制,购买热词吸引流量,以此将用户诱导到自己搭建的虚假主页上。



360社区

360社区




而虚假主页中所下载的软件,则是带有广告程序的恶意软件。



360社区

360社区




下载器执行时会从服务端下载恶意扩展压缩包,并强行结束浏览器进程然后释放到扩展相关目录并修改浏览器配置文件进行扩展的安装:

360社区

360社区




该扩展代码进行了大量混淆:



360社区

360社区




进行去混淆后,可知其具备网站劫持(主要劫持淘宝客、搜索、私服等网站)、插入广告等功能,并且执行的策略规则都是在线云控:



360社区

360社区




劫持策略规则还使用AES算法加密和 Base64编码。



360社区

360社区




分析人员将加密数据还原出来后,可见劫持规则如下:



360社区

360社区




其中被劫持的私服网站竟多达4961个:



360社区

360社区




运行后,会在其它网站中插入广告,且不提供关闭按钮:



360社区

360社区





浏览器活动标签“注水”

霸屏弹窗广告以假乱真




进一步分析后,360安全大脑发现除上述中招情形外,在部分受害用户的机器上,弹窗相关进程已被通过RC4加密的参数控制。



360社区

360社区




对样本参数进行解密,具体如下所示:



-project=kuaizip

-adurl=http://ssp.7654[.]com/tray

-qid=kuaizip

-ad=kuaiya_yptips_1

-countdown=30

-attachbrowser=true

-showadmark=true

-killprocess=60

-dlldata=logo_yptips

-configurl=http://down1.7654browser.shzhanmeng[.]com/tui/yptips/intervals.json

-closebuttonjsonurl=http://tips.glzip[.]com/n/tui/yptips/yptips.json

-countdown=60

-reportprefix=yptips-1



360安全大脑深入分析后发现,参数对此类广告进行的各种设置,具体包括是否附加到浏览器、是否显示来源、倒计时自动关闭、加载dll数据、连接云控json控制的开始时间以及触发的时间间隔等。



360社区

360社区




其中命令行参数“-dlldata= logo_yptips”会对指定的模块进行logo_yptip加载,该模块都被加密后写入Gif数据,并被存放在注册表中,执行的时候创建远程线程执行此段shellcode,最终由shellcode加载起YpTips.dll并调用导出函数e开始执行弹窗相关操作:



360社区

360社区

360社区

360社区





此外,因“-attachbrowser=true”参数被设置为打开状态,所以弹出的广告会被附加到浏览器活动标准页窗口上,以假乱真仿冒浏览器页面广告。具体弹窗效果如下图所示:




360社区

360社区





谨防“带毒”广告刷屏

360安全大脑还你清净浏览器




浏览器广告“泛滥”,木马植入、信息诈骗、强制消费等安全隐患接踵而至,污染网络环境之余,不仅侵犯了用户选择权,更严重威胁着网络安全。而在发现此类威胁后,360安全大脑极速出击,极智赋能360安全卫士,实现可在第一时间查杀此类恶意软件,保护广大用户上网安全。




360社区

360社区



此外,浏览器作为互联网最重要的入口之一,堪称政企办公的重要场景。而面对强势来袭的恶意软件和扩展威胁,360政企安全反病毒中心针对广大政企多端用户,给出如下安全建议:



1.建议用户选择正规渠道安装软件,以免自己的电脑成为不法分子控制劫持的工具;

2.如发现浏览器被插入恶意广告或访问正常网站出现自动跳转到带计费链接的网站时尽快使用安全软件进行查杀;

3.如浏览器支持,请开启浏览器的“自动停用来源不明的扩展”功能。



附录

部分扩展ID(部分名称为伪装)

fcahamiicfebpelbggpdjnolnoinimem

eeeoblhffniamgejemaladfhibjiicdp

dgdnmfccfomgnaeipcpkigpofpfhkmnk

bjdlfjomcjcaobkgdhfbnafkdbhpbjia

kbgoekedgkjckjbgngcgnfofnibfibhd

cdlkigdinekjphniiikllpimpfibljla

gmncddhbbfkjkcffhhbjgfjcfcfbileh

phnompbmndfjfdhcckblollfoipcgnbf

npolpagifegogmgcbpeogeiahjjigibm

pacfadfnhfkijmiacjflgdgconhhfjfm

moalihdkojhlkmdfjhlcakelngkiipln

fabpcgbcmpkjfneobkfcckfeamiaoidb

kpiomiebgaaoheanbeinnkeidfdnekkm

oagdkhmnlmhmhnhkgboembifjkkbmkhl

gpkgjgiaimkoechjbdfaakmjpeoaoani

emhjojjbglkfopinkcpipcbfihehljoo

impjhdnlcphjmhfchpjeomplfdllimkb

omapfdkaloophlpaaiapohjinekildhm

ncadgjloklpmlblhciofgpmhaodpbhmg

bbalkplkepokcbhaeigcbifhceiffnac

dedaccoeanofpnibpflegcageagehpde

occhecfbiehogeebddncjaammkclffao


来源  360安全卫士

共 1 个关于恶意劫持浏览器“投毒”,360安全大脑独家揭秘幕后“真凶”的回复 最后回复于 2020-11-14 16:32

评论

直达楼层

包智安 VIP认证 LV12.少将 发表于 2020-11-14 16:32 | 显示全部楼层 | 私信
360手机卫士
来自360手机N6(360社区3.5.5版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:174 关注:13 积分:177914

精华:307 金币:189682 经验:143894

最后登录时间:2021-2-25

摄像机APP V7.0 智能摄像机AP2C 360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

抽奖活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,了解最新活动,抽锦鲤大奖,还有在线客服小姐姐等你来撩哦~

        快速回复 返回顶部 返回列表