开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

简介: 本文讲的是顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记,QQ粘虫是已经流行多年的盗号木马,它会伪装QQ登陆界面,诱骗受害者在钓鱼窗口提交账号密码。近期,360QVM引擎团队发现一支专门攻击建筑行业人群的QQ粘虫变种,它伪装为招标文档,专门在一些建筑/房产行业聊天群里传播。
+关注继续查看
本文讲的是顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

前言

QQ粘虫是已经流行多年的盗号木马,它会伪装QQ登陆界面,诱骗受害者在钓鱼窗口提交账号密码。近期,360QVM引擎团队发现一支专门攻击建筑行业人群的QQ粘虫变种,它伪装为招标文档,专门在一些建筑/房产行业聊天群里传播。

由于此木马样本带有其服务器数据库信息,木马生成器和一个小有规模的幕后团伙也因此而暴露出来。

传播途径

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图1

根据网友举报和样本关联分析,此QQ粘虫木马主要是活跃在建筑/房产行业的聊天群中,从样本信息也可以发现,木马攻击的目标就是建筑房产从业者。

部分样本文件名:

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

通过网络搜索,部分文件名确实是曾经或正在进行招投标的工程,对相关从业者具有一定迷惑性。

样本分析

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

l 样本双击执行后会弹窗告警,显示“文件已损坏”来迷惑受害者,实际上盗号木马已经在后台默默执行。

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图2

l 连接Mysql

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图3

l 通过检测窗口类TxGuiFoundation是否存在,如果存在则弹出QQ账号异常的钓鱼窗口。

l 钓鱼窗口

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图4

l 通过Mysql语句将盗取的QQ账号、密码、IP、address、UserID插入数据库

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图5

尽管QQ粘虫木马的拦截查杀难度并不高,但是由于部分网友电脑“裸奔”或是没有使用专业安全软件,从木马程序内置的数据库账号密码访问其数据库可以看到,竟有不少网民中招,截至7月17日下午,该数据库统计的盗号数量已接近3000个: 

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图6

在木马服务器数据库里,还有木马生成器的更新信息,从而可以获取到最新的木马变种下载地址。

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图7

生成器

l 界面

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图8

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图9

l 压缩格式

生成器支持将木马程序压缩成:R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG

l 团伙数据

此木马生成器会根据登录的用户名来管理各自生成的木马盗取的QQ账号密码,支持删除和查看功能。从数据库中的数据来看,该木马团伙目前包括管理员在内,一共有14名成员。

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图10

l 对比

每个生成出来的木马文件都带有UserID,前面提到木马程序通过Mysql语句将盗取的QQ账号密码插入数据库,语句中api_user就对应着UserID。不同用户生成出来的木马程序唯一的不同就是UserID,每个用户通过自己的ID生成木马,并且各自管理盗取成功的账号密码。

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图11

拦截统计

根据统计,该QQ粘虫木马对广东、云南、河南、湖南、安徽等地区的用户攻击数量相对较高:

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图13

盗号危害

从这款伪装成“招标文档”的QQ粘虫木马来看,其大面积对建筑房产行业的QQ群进行投递传播。从文件名上来看,木马团队对投标项目做了相关的准备工作。

1. 木马制作

2. 木马售卖

3. 木马伪装相关“招标文档”打包

4. 潜伏进建筑/房产相关QQ群,上传木马到群文件/发送群邮件

5. 管理盗取到的账号密码

之后,木马团伙很可能会验证账号清洗账号窃取资料,进行撞库攻击建立行业社工库,甚至进一步进行定向攻击黑市贩卖。

说到撞库,这种攻击方式也非常普遍。不法分子把盗取或采集的账号密码以及相关资料整理生成对应的字典表,利用它去批量登录其他网站,从而得到一系列可以登录的用户账号。

顺藤摸瓜:一个专黑建筑行业的QQ黏虫团伙现形记

图14

在此提醒网友,系统设置里不要勾选“隐藏已知文件类型的扩展名”,以免被文档图标的可执行程序蒙骗;如果在打开一些文件后出现了QQ重新登录的提示,应警惕这很可能是木马作祟;在聊天群共享、网盘等非可信来源下载网络资源时,应保持安全软件处于开启状态,对陌生文件进行检测,确认安全后再打开。




原文发布时间为:2017年7月20日
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
360安全卫士指控QQ侵犯用户隐私
9月26日晚上11点16分,安全软件商360在他们的论坛中发布了最新公告:《360安全卫士发布隐私保护器 专门曝光“窥私”软件》,直指QQ软件会扫描用户隐私文件和数据。腾讯方面昨天也对这项指责进行了正式的回应,称扫描行为是防止木马的安全措施,并无窥视用户隐私的意图。
1252 0
QQ邮箱的安全问题
下午同事群里有人提醒,小心欺诈邮件。邮件内容为你的帐户在XX存在异地登录,已经进入了【保护模式】,如需解除请点击【解除保护模式】 除了链接之外,其它跟官方的是一模一样,包括标题。 那个链接的地址是:http://103.39.77.23:1100/ ,查了一下是香港的   主界面直接用邮件的资源,rescdn.qqmail.com   使用微信扫一扫是能登录的,但是会被跳转到了m.exmail.qq.com,但如果你输入了正确的帐号、密码,那么你的帐户从点击按钮那一刻开始就不安全了。
1284 0
被黑客NeoN“附体” QQ为推产品谎报漏洞
2年前,一位名叫NeoN的俄罗斯黑客被各国媒体争相报道,原因是他做出了一种专门恐吓用户电脑“中毒”的流氓软件,威胁用户购买价格49.95美元的某款杀毒软件。如今,国内知名互联网公司QQ似乎也已经被黑客NeoN“附体”,竟然开始用“检测到高危漏洞” 欺骗、恐吓用户,以此方式来来推广QQ电脑管家。
794 0
不要再被骗了------QQ盗号原理大揭秘
前言 相信大家在懵懂无知的时候都有被盗号的经历吧,QQ胡乱的加好友,突然有个好友传了个文件给你,打开以后发现QQ竟然显示强制下线,然后再也上不去了QAQ,很明显,QQ号被人盗了。最近也是很多小伙伴私信我,也看了一些人发空间说QQ号被盗了啥的,以及我自己收到的一些诈骗请求。
1533 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
文章
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载