“移花接木”偷换广告：HTTPS劫匪木马每天打劫200万次网络访问

日前，360安全中心发现一个专门劫持主流搜索引擎和电商网站的HTTPS“劫匪”木马活跃度剧增。此木马使用“移花接木”大法，在中招电脑上导入虚假证书，以中间人攻击的方式突破HTTPS加密连接的安全防线，从而在受害用户访问一些大型网站时篡改页面插入广告。根据360网络安全研究院对全网数据的监测分析，HTTPS“劫匪”木马每天劫持的HTTPS访问量超过200万次。

HTTPS“劫匪”木马以色情播放器作为伪装，诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时，HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口，木马在本地架设kanleweb server进行流量劫持，然后在对应页面插入一个js恶意脚本篡改页面，这种方法能够突破国内大量知名站点的HTTPS加密连接。

以下是360安全中心对HTTPS“劫匪”木马的详细分析

木马主要通过伪装色情播放器的方式进行推广，部分用户可能会被木马诱骗关闭安全软件而中招：

 图1

木马在中招电脑安装kanleweb server，kangleweb通过配置，对下列域名进行了劫持：

图2

图3

并通过导入证书的方式实现中间人攻击：

图4

导入到系统的证书签发了大量域名：

图5

以搜索引擎为例，HTTPS劫匪木马会把搜索引擎原有的广告替换为木马关联的广告联盟ID的广告：

图6

图7

插入的用于做劫持的js:

图8

在电商网站中同样会加入劫持用的js:

图9

来自360网络安全研究院的数据显示，HTTPS劫匪木马主要用于劫持控制的域名之一(erhaojie.com)的网络访问请求，近期达到日均超过200万次。

图10

由于HTTPS加密连接的网站往往会涉及重要的账号和数据，用户应对此类专门打劫HTTPS的恶意推广木马提高警惕，防止造成敏感数据泄露等更严重的损失。在下载软件时如果遇到安全软件报警提示木马病毒的情况，切勿关闭安全软件冒险运行木马。