近日,安全软件提供商火绒发布了一项技术分析报告,揭示了QQ音乐平台遭遇的一次复杂网络攻击事件。此次攻击中,不法分子巧妙运用了“白加黑”技术,将QQ音乐的官方网站劫持,用于推广非法传奇私服游戏。
据火绒威胁情报中心监测,QQ音乐软件的安装目录下出现了异常的进程自动启动行为。经过深入的技术溯源,专家们确认,这一异常进程是由2021年版本的QQMusic.exe文件所触发。
攻击者的手法相当狡猾,他们利用“白加黑”技术,向QQMusic.exe文件中注入了恶意的DLL文件。这个DLL文件在被加载后,会解压出一个专门用于劫持网页的模块,并安装一个恶意驱动。这一连串的操作,最终使得当用户访问特定网址时,会被重定向至非法传奇私服游戏的发布页面。
原本用户期望访问的是QQ音乐的官方网站,但在遭受劫持后,页面却变成了传奇私服游戏的推广信息。
这个恶意驱动还具备相当高的隐蔽性。它能够检测到ARK工具驱动,并对其进行干扰,以隐藏自身的存在。同时,该驱动还会干扰安全软件的正常通信,进一步增加了检测和清除的难度。
火绒对恶意DLL文件的执行逻辑进行了详细分析,并将其划分为三个阶段。在初始阶段,DLL文件会释放并运行传奇私服程序,然后下载配置文件,并根据配置中的指令选择后续的操作路径。
接着进入下载劫持模块阶段,根据配置的不同分支,DLL文件会负责下载并执行劫持模块。尽管第三个分支因无法成功下载文件而具体行为未知,但火绒仍将其归类于这一阶段。
最后是劫持模块的执行阶段,该模块会实施网页劫持操作,将用户访问的指定网址重定向至非法传奇私服游戏的发布页面。
目前,火绒安全软件已经能够拦截并清除上述病毒。用户可以通过火绒安全产品获取相关的防护和查杀服务,同时,火绒也提供了完整的技术分析报告,供感兴趣的用户深入了解此次攻击事件的细节。
