近日,安全軟件提供商火絨發布了一項技術分析報告,揭示了QQ音樂平臺遭遇的一次復雜網絡攻擊事件。此次攻擊中,不法分子巧妙運用了“白加黑”技術,將QQ音樂的官方網站劫持,用于推廣非法傳奇私服游戲。
據火絨威脅情報中心監測,QQ音樂軟件的安裝目錄下出現了異常的進程自動啟動行為。經過深入的技術溯源,專家們確認,這一異常進程是由2021年版本的QQMusic.exe文件所觸發。
攻擊者的手法相當狡猾,他們利用“白加黑”技術,向QQMusic.exe文件中注入了惡意的DLL文件。這個DLL文件在被加載后,會解壓出一個專門用于劫持網頁的模塊,并安裝一個惡意驅動。這一連串的操作,最終使得當用戶訪問特定網址時,會被重定向至非法傳奇私服游戲的發布頁面。
原本用戶期望訪問的是QQ音樂的官方網站,但在遭受劫持后,頁面卻變成了傳奇私服游戲的推廣信息。
這個惡意驅動還具備相當高的隱蔽性。它能夠檢測到ARK工具驅動,并對其進行干擾,以隱藏自身的存在。同時,該驅動還會干擾安全軟件的正常通信,進一步增加了檢測和清除的難度。
火絨對惡意DLL文件的執行邏輯進行了詳細分析,并將其劃分為三個階段。在初始階段,DLL文件會釋放并運行傳奇私服程序,然后下載配置文件,并根據配置中的指令選擇后續的操作路徑。
接著進入下載劫持模塊階段,根據配置的不同分支,DLL文件會負責下載并執行劫持模塊。盡管第三個分支因無法成功下載文件而具體行為未知,但火絨仍將其歸類于這一階段。
最后是劫持模塊的執行階段,該模塊會實施網頁劫持操作,將用戶訪問的指定網址重定向至非法傳奇私服游戲的發布頁面。
目前,火絨安全軟件已經能夠攔截并清除上述病毒。用戶可以通過火絨安全產品獲取相關的防護和查殺服務,同時,火絨也提供了完整的技術分析報告,供感興趣的用戶深入了解此次攻擊事件的細節。
