雷鋒網宅客頻道消息，據騰訊御見威脅情報中心監(jiān)測發(fā)現某輸入法軟件及某網吧管理軟件內嵌的廣告頁面遭遇網頁掛馬攻擊，這些軟件啟動時，會自動打開內嵌的廣告頁面。

盜號木馬團伙使用黑客技術精心構造了含漏洞攻擊代碼的廣告（漏洞編號：CVE-2018-8174）。隨著廣告頁面呈現，漏洞攻擊代碼被觸發(fā)，更多惡意軟件被下載安裝。包括其他木馬下載器、Steam盜號木馬、廣告刷量木馬。 

相關數據表明，受掛馬影響的電腦超過5萬臺，其中有大約20%（即1萬余臺電腦）被安裝多個盜號木馬、廣告刷量木馬，以及木馬下載器。

具體攻擊過程：

受掛馬攻擊的軟件在請求廣告時會訪問掛馬廣告頁面

掛馬URL：hxxp://jx2.yknszc.cn/cn2/；www.hftg4j.cn:2002/index.html

該廣告頁面中被嵌入了惡意腳本代碼，代碼通過ASCII編碼，解碼后內容為嵌入一個iframe，指向www5.hpx0.cn:2005/hpx02005.html(另一個受影響的軟件會指向hxxp://www6.hpq0.cn/hpq02006.html)

www5.hpx0.cn:2005/hpx02005.html中同樣是一段ASCII編碼的腳本，解碼內容后發(fā)現其中包含CVE-2018-8174漏洞利用代碼，該漏洞影響多個版本的IE瀏覽器以及使用了IE內核的應用程序。

廣告模塊內置的IE瀏覽器在訪問掛馬頁面時，觸發(fā)漏洞執(zhí)行了惡意代碼。

▲惡意腳本代碼

▲CVE-2018-8174漏洞利用代碼

漏洞觸發(fā)后執(zhí)行hxxp://www.mini00.com:8888/006.hta，該腳本通過powershell.exe繼續(xù)下載和執(zhí)行hxxp://www6.hpq0.cn:2006/2006.exe

有意思的是，通過病毒代碼分析，發(fā)現這起掛馬事件的始作俑者，會檢測受害電腦IP，如果位于北京上海廣東山東浙江五省市，就會停止進一步產生危害。

對于用戶來說不必恐慌，只需及時安裝操作系統(tǒng)補丁即可。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。