前言
QQ粘蟲是已經(jīng)流行多年的盜號木馬,它會偽裝QQ登陸界面,誘騙受害者在釣魚窗口提交賬號密碼。近期,360QVM引擎團隊發(fā)現(xiàn)一支專門攻擊建筑行業(yè)人群的QQ粘蟲變種,它偽裝為招標(biāo)文檔,專門在一些建筑/房產(chǎn)行業(yè)聊天群里傳播。
由于此木馬樣本帶有其服務(wù)器數(shù)據(jù)庫信息,木馬生成器和一個小有規(guī)模的幕后團伙也因此而暴露出來。
傳播途徑
根據(jù)網(wǎng)友舉報和樣本關(guān)聯(lián)分析,此QQ粘蟲木馬主要是活躍在建筑/房產(chǎn)行業(yè)的聊天群中,從樣本信息也可以發(fā)現(xiàn),木馬攻擊的目標(biāo)就是建筑房產(chǎn)從業(yè)者。
部分樣本文件名:
通過網(wǎng)絡(luò)搜索,部分文件名確實是曾經(jīng)或正在進行招投標(biāo)的工程,對相關(guān)從業(yè)者具有一定迷惑性。
樣本分析
樣本雙擊執(zhí)行后會彈窗告警,顯示“文件已損壞”來迷惑受害者,實際上盜號木馬已經(jīng)在后臺默默執(zhí)行。
連接Mysql
通過檢測窗口類TxGuiFoundation是否存在,如果存在則彈出QQ賬號異常的釣魚窗口。
釣魚窗口
通過Mysql語句將盜取的QQ賬號、密碼、IP、address、UserID插入數(shù)據(jù)庫
盡管QQ粘蟲木馬的攔截查殺難度并不高,但是由于部分網(wǎng)友電腦“裸奔”或是沒有使用專業(yè)安全軟件,從木馬程序內(nèi)置的數(shù)據(jù)庫賬號密碼訪問其數(shù)據(jù)庫可以看到,竟有不少網(wǎng)民中招,截至7月17日下午,該數(shù)據(jù)庫統(tǒng)計的盜號數(shù)量已接近3000個:
在木馬服務(wù)器數(shù)據(jù)庫里,還有木馬生成器的更新信息,從而可以獲取到最新的木馬變種下載地址。
生成器
界面
壓縮格式
生成器支持將木馬程序壓縮成:R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG
團伙數(shù)據(jù)
此木馬生成器會根據(jù)登錄的用戶名來管理各自生成的木馬盜取的QQ賬號密碼,支持刪除和查看功能。從數(shù)據(jù)庫中的數(shù)據(jù)來看,該木馬團伙目前包括管理員在內(nèi),一共有14名成員。
對比
每個生成出來的木馬文件都帶有UserID,前面提到木馬程序通過Mysql語句將盜取的QQ賬號密碼插入數(shù)據(jù)庫,語句中api_user就對應(yīng)著UserID。不同用戶生成出來的木馬程序唯一的不同就是UserID,每個用戶通過自己的ID生成木馬,并且各自管理盜取成功的賬號密碼。
攔截統(tǒng)計
根據(jù)360安全衛(wèi)士云主防的統(tǒng)計,該QQ粘蟲木馬對廣東、云南、河南、湖南、安徽等地區(qū)的用戶攻擊數(shù)量相對較高,用戶只要開啟360安全衛(wèi)士即可攔截預(yù)防:
盜號危害
從這款偽裝成“招標(biāo)文檔”的QQ粘蟲木馬來看,其大面積對建筑房產(chǎn)行業(yè)的QQ群進行投遞傳播。從文件名上來看,木馬團隊對投標(biāo)項目做了相關(guān)的準(zhǔn)備工作。
1. 木馬制作
2. 木馬售賣
3. 木馬偽裝相關(guān)“招標(biāo)文檔”打包
4. 潛伏進建筑/房產(chǎn)相關(guān)QQ群,上傳木馬到群文件/發(fā)送群郵件
5. 管理盜取到的賬號密碼
之后,木馬團伙很可能會驗證賬號清洗賬號竊取資料,進行撞庫攻擊建立行業(yè)社工庫,甚至進一步進行定向攻擊黑市販賣。
說到撞庫,這種攻擊方式也非常普遍。不法分子把盜取或采集的賬號密碼以及相關(guān)資料整理生成對應(yīng)的字典表,利用它去批量登錄其他網(wǎng)站,從而得到一系列可以登錄的用戶賬號。
在此提醒網(wǎng)友,系統(tǒng)設(shè)置里不要勾選“隱藏已知文件類型的擴展名”,以免被文檔圖標(biāo)的可執(zhí)行程序蒙騙;如果在打開一些文件后出現(xiàn)了QQ重新登錄的提示,應(yīng)警惕這很可能是木馬作祟;在聊天群共享、網(wǎng)盤等非可信來源下載網(wǎng)絡(luò)資源時,應(yīng)保持安全軟件處于開啟狀態(tài),對陌生文件進行檢測,確認安全后再打開。