順藤摸瓜：一個專黑建筑行業(yè)的QQ黏蟲團伙現(xiàn)形記

前言

QQ粘蟲是已經(jīng)流行多年的盜號木馬，它會偽裝QQ登陸界面，誘騙受害者在釣魚窗口提交賬號密碼。近期，360QVM引擎團隊發(fā)現(xiàn)一支專門攻擊建筑行業(yè)人群的QQ粘蟲變種，它偽裝為招標(biāo)文檔，專門在一些建筑/房產(chǎn)行業(yè)聊天群里傳播。

由于此木馬樣本帶有其服務(wù)器數(shù)據(jù)庫信息，木馬生成器和一個小有規(guī)模的幕后團伙也因此而暴露出來。

傳播途徑

根據(jù)網(wǎng)友舉報和樣本關(guān)聯(lián)分析，此QQ粘蟲木馬主要是活躍在建筑/房產(chǎn)行業(yè)的聊天群中，從樣本信息也可以發(fā)現(xiàn)，木馬攻擊的目標(biāo)就是建筑房產(chǎn)從業(yè)者。

部分樣本文件名：

通過網(wǎng)絡(luò)搜索，部分文件名確實是曾經(jīng)或正在進行招投標(biāo)的工程，對相關(guān)從業(yè)者具有一定迷惑性。

樣本分析

樣本雙擊執(zhí)行后會彈窗告警，顯示“文件已損壞”來迷惑受害者，實際上盜號木馬已經(jīng)在后臺默默執(zhí)行。

連接Mysql

通過檢測窗口類TxGuiFoundation是否存在，如果存在則彈出QQ賬號異常的釣魚窗口。

釣魚窗口

通過Mysql語句將盜取的QQ賬號、密碼、IP、address、UserID插入數(shù)據(jù)庫

盡管QQ粘蟲木馬的攔截查殺難度并不高，但是由于部分網(wǎng)友電腦“裸奔”或是沒有使用專業(yè)安全軟件，從木馬程序內(nèi)置的數(shù)據(jù)庫賬號密碼訪問其數(shù)據(jù)庫可以看到，竟有不少網(wǎng)民中招，截至7月17日下午，該數(shù)據(jù)庫統(tǒng)計的盜號數(shù)量已接近3000個：

在木馬服務(wù)器數(shù)據(jù)庫里，還有木馬生成器的更新信息，從而可以獲取到最新的木馬變種下載地址。

生成器

界面

壓縮格式

生成器支持將木馬程序壓縮成：R00、ZIP、TBZ、RAR、TBZ2、TAR、JAR、001、ISO、IMG

團伙數(shù)據(jù)

此木馬生成器會根據(jù)登錄的用戶名來管理各自生成的木馬盜取的QQ賬號密碼，支持刪除和查看功能。從數(shù)據(jù)庫中的數(shù)據(jù)來看，該木馬團伙目前包括管理員在內(nèi)，一共有14名成員。

對比

每個生成出來的木馬文件都帶有UserID，前面提到木馬程序通過Mysql語句將盜取的QQ賬號密碼插入數(shù)據(jù)庫，語句中api_user就對應(yīng)著UserID。不同用戶生成出來的木馬程序唯一的不同就是UserID，每個用戶通過自己的ID生成木馬，并且各自管理盜取成功的賬號密碼。

攔截統(tǒng)計

根據(jù)360安全衛(wèi)士云主防的統(tǒng)計，該QQ粘蟲木馬對廣東、云南、河南、湖南、安徽等地區(qū)的用戶攻擊數(shù)量相對較高，用戶只要開啟360安全衛(wèi)士即可攔截預(yù)防：

盜號危害

從這款偽裝成“招標(biāo)文檔”的QQ粘蟲木馬來看，其大面積對建筑房產(chǎn)行業(yè)的QQ群進行投遞傳播。從文件名上來看，木馬團隊對投標(biāo)項目做了相關(guān)的準(zhǔn)備工作。

1. 木馬制作

2. 木馬售賣

3. 木馬偽裝相關(guān)“招標(biāo)文檔”打包

4. 潛伏進建筑/房產(chǎn)相關(guān)QQ群，上傳木馬到群文件/發(fā)送群郵件

5. 管理盜取到的賬號密碼

之后，木馬團伙很可能會驗證賬號清洗賬號竊取資料，進行撞庫攻擊建立行業(yè)社工庫，甚至進一步進行定向攻擊黑市販賣。

說到撞庫，這種攻擊方式也非常普遍。不法分子把盜取或采集的賬號密碼以及相關(guān)資料整理生成對應(yīng)的字典表，利用它去批量登錄其他網(wǎng)站，從而得到一系列可以登錄的用戶賬號。

在此提醒網(wǎng)友，系統(tǒng)設(shè)置里不要勾選“隱藏已知文件類型的擴展名”，以免被文檔圖標(biāo)的可執(zhí)行程序蒙騙;如果在打開一些文件后出現(xiàn)了QQ重新登錄的提示，應(yīng)警惕這很可能是木馬作祟;在聊天群共享、網(wǎng)盤等非可信來源下載網(wǎng)絡(luò)資源時，應(yīng)保持安全軟件處于開啟狀態(tài)，對陌生文件進行檢測，確認安全后再打開。