360安全大脑监测发现“1378”和“850”用户群体盗号

1.钓鱼信息显示

如果在搜索引擎中搜索关键词“1378”和“850”，可以看到第一、第二搜索结果都被钓鱼网站以广告位的形式占据。

由于两者是同一个域名，这里以1378为例。 当我们点击广告进入网站时，我们会发现这个钓鱼页面并没有隐藏任何东西。 所有网页链接均为 hxxp:///.exe。 目的只有一个，那就是让用户下载他们的钓鱼客户端。

然后我们检查检索信息。 当我们进入1378贴吧时，我们仍然可以看到钓鱼广告，而且它位于贴吧的顶部。 搜索引擎广告位的钓鱼效应进一步凸显。

通过了解贴吧“1378”用户群讨论的一些信息，我们可以知道，存在大量充值玩游戏的钓鱼目标用户，也可以让我们一睹这条黑色产业链的利润。

最后结合360安全大脑的监控信息可以发现，还存在不少其他钓鱼网站。

2.木马行为分析

1378钓鱼模块和850钓鱼模块的方法基本相同。 这里我们以1378棋牌游戏为例。 该木马的整体行为大致如下图所示。

当用户点击桌面图标时，首先启动.exe，然后动态加载木马模块*.DLL。 此时木马模块检测到主模块名为.exe，就会执行持久化过程，防止木马模块被游戏原有的更新检查所替换。 失去。

.exe更新完成后，将启动游戏主程序.exe。 这时，*.DLL就会启动真实账户盗取行为。 但在此之前，值得一提的是，整个木马模块的代码编写风格非常严谨，错误检查和异常处理都做得非常好。 显然，这不是一个新手，而是一个经过一番努力整理和策划的木马模块。

如下图不要网的钓鱼游戏，判断当前主模块名称为.exe后，会展开行为。

然后函数中创建了几个线程，进行了多次HOOK，但最关键的还是HOOK棋牌游戏的模块.dll。 该HOOK允许木马作者直接获取用户的账户名和密码。 MD5。

如下图所示，输入测试账户密码并登录，即可成功获取我们测试时使用的账户名和密码的MD5。

3、360安全卫士自动拦截，确保游戏账号更安全

360安全大脑针对此类钓鱼行为开展了专项排查，根据360安全大脑的威胁监测发现，棋牌游戏目前是钓鱼活动的高危领域。 请用户仔细检查网页的真实性，从官方、正规渠道下载游戏。

4. 附录

Tags：钓鱼 木马 模块 大脑 下图