順藤摸瓜：一個(gè)專黑建筑行業(yè)的QQ黏蟲團(tuán)伙現(xiàn)形記

前言

QQ粘蟲是已經(jīng)流行多年的盜號(hào)木馬，它會(huì)偽裝QQ登陸界面，誘騙受害者在釣魚窗口提交賬號(hào)密碼。近期，360QVM引擎團(tuán)隊(duì)發(fā)現(xiàn)一支專門攻擊建筑行業(yè)人群的QQ粘蟲變種，它偽裝為招標(biāo)文檔，專門在一些建筑/房產(chǎn)行業(yè)聊天群里傳播。

由于此木馬樣本帶有其服務(wù)器數(shù)據(jù)庫信息，木馬生成器和一個(gè)小有規(guī)模的幕后團(tuán)伙也因此而暴露出來。

傳播途徑

根據(jù)網(wǎng)友舉報(bào)和樣本關(guān)聯(lián)分析，此QQ粘蟲木馬主要是活躍在建筑/房產(chǎn)行業(yè)的聊天群中，從樣本信息也可以發(fā)現(xiàn)，木馬攻擊的目標(biāo)就是建筑房產(chǎn)從業(yè)者。

部分樣本文件名：

通過網(wǎng)絡(luò)搜索，部分文件名確實(shí)是曾經(jīng)或正在進(jìn)行招投標(biāo)的工程，對(duì)相關(guān)從業(yè)者具有一定迷惑性。

樣本分析

樣本雙擊執(zhí)行后會(huì)彈窗告警，顯示“文件已損壞”來迷惑受害者，實(shí)際上盜號(hào)木馬已經(jīng)在后臺(tái)默默執(zhí)行。

連接Mysql

通過檢測窗口類TxGuiFoundation是否存在，如果存在則彈出QQ賬號(hào)異常的釣魚窗口。

釣魚窗口

通過Mysql語句將盜取的QQ賬號(hào)、密碼、IP、address、UserID插入數(shù)據(jù)庫

盡管QQ粘蟲木馬的攔截查殺難度并不高，但是由于部分網(wǎng)友電腦“裸奔”或是沒有使用專業(yè)安全軟件，從木馬程序內(nèi)置的數(shù)據(jù)庫賬號(hào)密碼訪問其數(shù)據(jù)庫可以看到，竟有不少網(wǎng)民中招，截至7月17日下午，該數(shù)據(jù)庫統(tǒng)計(jì)的盜號(hào)數(shù)量已接近3000個(gè)：

在木馬服務(wù)器數(shù)據(jù)庫里，還有木馬生成器的更新信息，從而可以獲取到最新的木馬變種下載地址。

生成器

界面

壓縮格式

生成器支持將木馬程序壓縮成：R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG

團(tuán)伙數(shù)據(jù)

此木馬生成器會(huì)根據(jù)登錄的用戶名來管理各自生成的木馬盜取的QQ賬號(hào)密碼，支持刪除和查看功能。從數(shù)據(jù)庫中的數(shù)據(jù)來看，該木馬團(tuán)伙目前包括管理員在內(nèi)，一共有14名成員。

對(duì)比

每個(gè)生成出來的木馬文件都帶有UserID，前面提到木馬程序通過Mysql語句將盜取的QQ賬號(hào)密碼插入數(shù)據(jù)庫，語句中api_user就對(duì)應(yīng)著UserID。不同用戶生成出來的木馬程序唯一的不同就是UserID，每個(gè)用戶通過自己的ID生成木馬，并且各自管理盜取成功的賬號(hào)密碼。

攔截統(tǒng)計(jì)

根據(jù)360安全衛(wèi)士云主防的統(tǒng)計(jì)，該QQ粘蟲木馬對(duì)廣東、云南、河南、湖南、安徽等地區(qū)的用戶攻擊數(shù)量相對(duì)較高，用戶只要開啟360安全衛(wèi)士即可攔截預(yù)防：

盜號(hào)危害

從這款偽裝成“招標(biāo)文檔”的QQ粘蟲木馬來看，其大面積對(duì)建筑房產(chǎn)行業(yè)的QQ群進(jìn)行投遞傳播。從文件名上來看，木馬團(tuán)隊(duì)對(duì)投標(biāo)項(xiàng)目做了相關(guān)的準(zhǔn)備工作。

1. 木馬制作

2. 木馬售賣

3. 木馬偽裝相關(guān)“招標(biāo)文檔”打包

4. 潛伏進(jìn)建筑/房產(chǎn)相關(guān)QQ群，上傳木馬到群文件/發(fā)送群郵件

5. 管理盜取到的賬號(hào)密碼

之后，木馬團(tuán)伙很可能會(huì)驗(yàn)證賬號(hào)清洗賬號(hào)竊取資料，進(jìn)行撞庫攻擊建立行業(yè)社工庫，甚至進(jìn)一步進(jìn)行定向攻擊黑市販賣。

說到撞庫，這種攻擊方式也非常普遍。不法分子把盜取或采集的賬號(hào)密碼以及相關(guān)資料整理生成對(duì)應(yīng)的字典表，利用它去批量登錄其他網(wǎng)站，從而得到一系列可以登錄的用戶賬號(hào)。

在此提醒網(wǎng)友，系統(tǒng)設(shè)置里不要勾選“隱藏已知文件類型的擴(kuò)展名”，以免被文檔圖標(biāo)的可執(zhí)行程序蒙騙;如果在打開一些文件后出現(xiàn)了QQ重新登錄的提示，應(yīng)警惕這很可能是木馬作祟;在聊天群共享、網(wǎng)盤等非可信來源下載網(wǎng)絡(luò)資源時(shí)，應(yīng)保持安全軟件處于開啟狀態(tài)，對(duì)陌生文件進(jìn)行檢測，確認(rèn)安全后再打開。