微信支付勒索病毒遠比想象的更惡毒:勒索只是表面行為 背后還在竊取淘寶天貓/支付寶/百度/網易/QQ/京東賬號

  網絡滲透測試     |      2023-03-24 20:19

微信支付勒索病毒遠比想象的更惡毒:勒索只是表面行為 背后還在竊取淘寶天貓/支付寶/百度/網易/QQ/京東賬號

[原文來自:]

火絨安全團隊凌晨針對軟件發布跟蹤分析報告,報告顯示該勒索軟件要遠比想象中的更加惡毒。
[原文來自:]

表面上這款勒索軟件會加密用戶所有文件并提供微信收款碼勒索贖金,目前該微信賬號已經被騰訊封號處理。

火絨安全團隊也已經針對此勒索軟件分析后發布解密工具,用戶可以利用解密工具直接解密所有被加密文件。

然鵝實際上除勒索外該惡意軟件還附帶多個模塊用于竊取淘寶、支付寶、網易、百度云、QQ以及京東賬號。

火絨工程師在破解黑客數據庫服務器后發現至少留存數萬條賬號數據,且感染量和盜竊數據量還在持續增長。

火絨安全團隊強烈建議已經被感染或者已經成功解密的用戶立即修改賬號密碼,確保自己不會遭到二次攻擊。

類似XcodeGhost般的供應鏈攻擊:

2015年蘋果官方應用商店出現大量應用程序攜帶后門,包括下載量超過千萬甚至上億的國內熱門應用程序。

經過分析安全人士發現出現如此規模的攻擊事件主要由于iOS開發者使用非官方版的XCode開發套件導致的。

開發者下載的開發套件被攻擊者篡改并植入后門程序,最終這些后門程序隨正規應用程序抵達用戶的手機里。

微信支付勒索軟件的供應鏈攻擊:

火絨安全團隊在追蹤后發現感染源頭來自知名易語言交流社區精易論壇,攜帶病毒的本身也并不是惡意軟件。

攻擊者在精易論壇的幾位軟件開發者發動攻擊,最終感染這幾位開發者電腦并篡改易語言開發模塊進行投毒。

導致這幾位開發者發布的易語言軟件全部攜帶病毒,,而開發者以及用戶均在不知情的情況下遭到病毒的感染。

微信支付勒索病毒遠比想象的更惡毒:勒索只是表面行為 背后還在竊取淘寶天貓/支付寶/百度/網易/QQ/京東賬號

為什么選擇易語言編程進行下手:

使用過易語言開發的應用程序的用戶應該知道,易語言類軟件早已已被多數安全軟件報毒或者直接攔截等等。

易語言本身沒有問題,但使用易語言開發病毒和惡意軟件的人很多、導致安全軟件直接對這類軟件進行攔截。

基于上述情況使用易語言的用戶基本都會關閉殺毒軟件或者無視殺毒軟件的報毒,這讓病毒開發者有機可乘。

利用豆瓣和QQ空間圖片進行掩護:

此勒索軟件開發者除使用自己的服務器外還利用豆瓣網和QQ空間圖片充當指令服務器防止被安全軟件攔截。

通過發布在豆瓣網的加密內容進行解密然后執行命令,此時解密后的內容指向QQ空間圖片然后再繼續執行。

接下來再解密QQ空間圖片攜帶的指令以及加載的模塊展開攻擊,攻擊者可遠程修改模塊內容下發任意命令。

微信支付勒索病毒遠比想象的更惡毒:勒索只是表面行為 背后還在竊取淘寶天貓/支付寶/百度/網易/QQ/京東賬號

黑客至少已經獲得數萬條賬號密碼數據:

火絨工程師在追蹤后找到其中一臺病毒后臺服務器,通過解密下發的指令火絨工程師成功登錄攻擊者服務器。

服務器上已經留存數萬條淘寶和天貓等賬號信息,隨著此勒索軟件的感染量增長數據收集也在隨之提升當中。

這也是文章開頭火絨工程師建議用戶修改密碼的原因,雖然文件可以解密但賬號密碼早已被黑客竊取并保存。

勒索、盜號與色情軟件并存:

此勒索軟件除勒索功能外至少包括盜號木馬以及推廣色情播放軟件,盜號木馬主要通過鍵盤記錄器竊取數據。

勒索模塊則是直接將用戶的所有文件加密然后要求用戶支付贖金,贖金金額為110元也具有明顯的挑釁意味。

推廣色情軟件主要可能是在后臺靜默安裝各類色情軟件,當然這類色情軟件通常都要用戶進行付費充值會員。

對于用戶們來說感染此病毒后文件被加密只是最初的步驟,而黑客實際目的要遠遠大于110元人民幣的贖金。