360安全大脑“截杀”游戏盗号木马,“屠戮”网吧服务器元凶终落网
2020年6月 , 警方破获一起大规模网吧非法植马案件 , 该案件主要为通过上机植马的方式 , 向多家网吧服务器植入STUpdater.exe木马 , 并对网吧服务器及主机进行远程控制 , 从而盗取大量游戏账号;在进一步确认后发现 , 广州、合肥、成都等多地网吧也接连出现类似情形 , 对网络安全造成巨大危害 , 严重扰乱了社会秩序 。
360安全大脑在接到警方协助侦查需求后 , 结合安全大数据分析研判 , 成功掌握了该攻击木马的入侵原理、最终目的以及控制服务器地址等重要信息 , 并通过追踪溯源 , 最终发现散布木马的作案元凶 。
360安全大脑“截杀”游戏盗号木马,“屠戮”网吧服务器元凶终落网■目前 , 在多地警方的统一部署与通力配合下 , 作案人员已被绳之以法 , 关于案件的后续侦办正在有序推进中 。
犯罪团伙周转多地散布病毒
汉中、咸阳、西安等网吧频现木马危机
警方在接到报案后 , 前往多家事发网吧对服务器进行勘验;在调取近期监控视频和上机记录的过程中 , 发现木马植入几分钟前 , 存在可疑人员使用虚假身份证开机操作 , 并在几分钟后结账下机 。
根据该虚拟身份进行轨迹核查得知 , 犯罪嫌疑人5月23日由四川简阳出发 , 乘坐动车、飞机途经汉中、咸阳、西安等地 , 并在沿途网吧皆完成植马操作 。
360安全大脑在整合警方提供信息后发现 , 不法分子主要通过线上招募的方式 , 安排大量人员前往不同地区的网吧门店 , 使用客户机来攻击网吧服务器 , 且通常只上机5分钟左右就离开 , 行踪十分隐蔽 。
同时 , 为了拓展犯罪行径 , 作案人员在进行线上招募时 , 主要通过在社交软件上发布一些诱人的小广告 , 来吸引一些想赚外快的代理人员 , 帮助他们完成网吧攻击木马的投放 。
因此 , 存在多个作案帮手同样按照一定路线到沿途网吧 , 使用远程控制软件进行植马 , 广州、合肥、成都等多地网吧皆沦为攻击目标 。
360安全大脑在进一步的分析研判后发现 , 作案团伙如此大动干戈的种植木马 , 并非企图利用网吧电脑进行非法挖矿 , 而仅是为了盗取网吧玩家的游戏账户 。 目前 , 警方已抓获作案团伙管理人员 , 并发现涉案人员20余人 , 在多省市网吧非法植马 。
吸睛福利诱导用户下载使用
网游加速器成盗号木马藏身之所
在对该木马攻击进行追踪溯源后 , 根据已成功掌握的入侵原理、最终目的以及控制服务器地址等重要信息 , 360安全大脑分析出了该作案团伙的整体运行流程 。 其中 , 作案团伙利用多样的攻击方法 , 对易乐游、网维大师和云更新3种主流网吧管理平台实施入侵 , 从而完成了大规模的网吧植马 。
通过360安全大脑关联STUpdater.exe木马相关的攻击链 , 快速定位到了网吧攻击木马的传播载体是一款经过修改的熊猫加速器 。 有意思的是 , 该软件安装完成后 , 会通过网吧安装激活送奖励等福利提示 , 将自己包装成看似正常推广的合法软件 , 来吸引用户使用 。
而实际上 , 安装目录里会添加一个捆绑的木马模块wke.dll , 该模块利用DLL侧加载技术在熊猫加速器主程序启动时自动运行 。 运行后首先会检测网吧环境和资质 , 验证通过后就联网下载攻击网吧服务器的工具 , 联网时会附带传播载体的渠道号(内置于每个传播软件中 , 本例为1986)方便区分和控制 。
推荐阅读
- 寒武纪科学馆|太空飞船如何安全返回地球?经历哪几个阶段?了解一下
- 超越不离开|普通百姓只能等死专家记住这3个地方绝对安全,若核战争爆发
- 温州市6114艘渔船全部归港避风或驶入安全水域
- 精选热点资讯|安全第一!江苏多地8月1日起要求电动车驾驶人佩戴安全头盔
- 环球网军事|中美最后“安全阀”,朱锋:重启军事对话
- 热评丨香港市民的安全与健康才是当前最大的政治
- 中金网|区块链是澳大利亚网络安全解决方案的一部分
- 浙报融媒体|赵如浪强调:全面整改各类安全生产隐患,全区危化品运输安全工作紧急会议召开
- 360娱乐|不是双胞胎,没生双胞胎!唐嫣产后正式复出并辟谣:生了女儿
- 360游戏大厅|凉快一夏!《糖果缤纷乐》奥蕾莉亚的海底世界等你畅游