日前360 安全大脑监测到大量针对桌面浏览器的劫持攻击,众多受害用户的浏览器被静默安装恶意扩展程序,这些恶意扩展程序包括名为时钟提醒、今日惠购以及页游等等,然后浏览网页时还会莫名的跳转到别的网站,据监测目前被这些恶意扩展劫持的网站已经超过2600个,经360安全大脑追踪此事件的源头为游迅游戏盒子。
中招用户电商网站被加上返利ID:
访问百度好123被跳转到2345导航:
QQ游戏等常见游戏网站被劫持到棋牌游戏网站:
win10之家友情提醒:此类棋牌网站带有明显的网络赌博性质,请勿相信这类棋牌网站防止进入诈骗团伙的圈套。
就连部分私服游戏网站都遭到劫持:
据360安全大脑统计此次攻击广东/江苏/浙江/山东/辽宁等沿海地区省份的用户遭到劫持影响的程度相对较高。
名为游迅盒子的软件是始作俑者:
这次安全事件的始作俑者是游迅网旗下的游迅游戏盒子,同时游迅游戏盒子也主要依靠游迅网传播给用户们,游迅盒子在安装说明中诱导用户关闭杀毒软件或放行其安装,在成功安装后该游戏盒子开始在后台执行操作,例如当用户点击关闭按钮退出游戏启动器后又会下载执行配置文件中配置的伪装刺激战场游戏的木马程序等,该木马程序执行后会判断杀毒软件环境然后再去云端拉取恶意扩展在多个浏览器上执行静默安装和捆绑操作,同时攻击者在云端不断变换着扩展名称防止用户删除,部分恶意扩展名称包括时钟提醒、今日惠购和页游等。
恶意扩展通过云端按时间段进行劫持:
这些通过本地安装到浏览器的恶意扩展随浏览器打开后台运行,并从云端服务器拉取配置文件列表用于劫持。为防止被用户发现异常攻击者会在多个连接的劫持配置中还设置进行劫持的时间控制段在指定时间才会劫持,触发劫持后则在后台自动匹配目标网址,如当用户打开淘宝时自动跳转到带有推广链接的天猫商城获取返利。而部分劫持则是直接跳转到攻击者自建的同类型网址或者下载地址,通过这种方式劫持知名网站或软件流量。而配置规则则是异常的丰富,例如类别包括电商类、网址导航类、页游类、直播类、下载站、彩票私服等等。
众多知名网站例如淘宝/天猫/京东/2345/Hao123/知乎/携程/华为商城/苏宁易购等超过2600多个网站地址。
360安全大脑提醒广大用户:
1.使用360 安全卫士可以拦截和阻止该木马的攻击,建议广大用户及时下载安装360安全卫士保护电脑安全。
2.对于杀毒软件报毒的程序请勿轻信描述、不要轻易选择将其添加到杀毒软件信任列表或者推出杀毒软件等。
3.如发现浏览器访问正常网站出现自动跳转到带计费连接的网站,则应该尽快使用杀毒软件查杀确保安全等。
4.建议用户选择正规渠道例如360 软件管家等下载软件和游戏等,以免计算机成为不法分子控制劫持的工具。
