首页 / 公司新闻 / 企业动态 / 360发布威胁预警：警惕“高仿”软件安装程序暗藏钓鱼木马

360发布威胁预警：警惕“高仿”软件安装程序暗藏钓鱼木马

近日，360数字安全大脑监测发现多起利用钓鱼网站对特定用户进行攻击的安全事件。攻击者通过精心制作的钓鱼网站，诱骗目标用户下载安装被二次打包的软件安装程序。而这些安装程序则在二次打包的过程中，向其中嵌入了用以窃取用户隐私数据并进行进一步控制的远控木马程序，严重威胁到广大政企机构的数据与财产安全。

360数字安全大脑在进一步的溯源分析中发现，本次钓鱼黑客团伙在部署攻击的过程中，不仅对钓鱼网站的页面进行了精心的设计，同时也进行了针对性的SEO优化，以此来提高钓鱼网站在搜索引擎中的排名。

以虚假的某聊天软件为例，目前就在某搜索引擎中排在了第二位。

打开这个虚假聊天软件的钓鱼网站后，受骗用户会被引导下载到一个以“PaoPao.rar”命名的压缩包，而压缩包内则是名为“PaoPao.msi”的安装包程序。

该程序在被安装时，除了释放正常聊天软件外，还会释放远控木马，以及在开始菜单目录添加快捷方式文件（lnk文件），用以指向其释放AliTask.exe（被利用的合法程序），以此来进一步迷惑用户并诱导用户点击运行。

但AliTask.exe一旦被执行，便会被利用去启动同样是被安装包释放出来的名为fixaliww.exe的程序（自动化工具，本身并非恶意软件）。

fixaliww.exe被执行后则会读取同路径下的icafe8.ini配置文件，并根据配置文件的指令启动两个bat文件，把dat文件拼接成完整的可执行程序并执行。在完成以上部署操作后，木马会将lnk重新改为指向虚假聊天软件的主程序以掩人耳目。

最终木马程序被执行后，会从以下URL中下载恶意载荷：

该载荷被下载后会直接在内存中被加载执行，其功能则是一款典型的远控木马——具有关闭设备、获取键盘记录、录音、截屏、下载程序并运行等一系列常用控制功能。

如果受害机器的QQ正在运行，该木马甚至可以获取到一些已登录QQ的本地信息。通过这些信息构造数据，就可能进一步从网络接口中获取到：已加入的群信息、群好友信息、群成员列表等隐私数据。

利用这些信息，攻击者可以对受害者及其联系人发起钓鱼、诈骗等不法行为。当程序获取到QQ的本地权限之后，还可以利用受害者的QQ发布虚假消息，危害及其严重。

值得注意的是，该钓鱼黑客团伙还精心“高仿”了诸多聊天软件的官网页面，进行钓鱼诱导。

因此，除了针对性安全防范，360数字安全大脑建议广大政企机构建立全面的数字安全防御体系，正确安装安全防护软件，以免重要数据泄露而产生不可逆的损失。

基于全球15亿终端覆盖所形成的全网视野，360终端安全管理系统是在360数字安全大脑的赋能下，集成防病毒、漏洞与补丁管理、Win7盾甲、终端管控、桌面优化、软件管理、安全U盘及移动存储管理等功能于一体，可及时完成对该类病毒木马的查杀。建议广大政企机构下载使用，尽快构建起应对高级威胁的终端威胁对抗体系。