QQ音樂遭“白加黑”攻擊，網(wǎng)站被劫持竟為推廣傳奇私服？

近日，安全軟件提供商火絨發(fā)布了一項技術(shù)分析報告，揭示了QQ音樂平臺遭遇的一次復雜網(wǎng)絡(luò)攻擊事件。此次攻擊中，不法分子巧妙運用了“白加黑”技術(shù)，將QQ音樂的官方網(wǎng)站劫持，用于推廣非法傳奇私服游戲。

據(jù)火絨威脅情報中心監(jiān)測，QQ音樂軟件的安裝目錄下出現(xiàn)了異常的進程自動啟動行為。經(jīng)過深入的技術(shù)溯源，專家們確認，這一異常進程是由2021年版本的QQMusic.exe文件所觸發(fā)。

攻擊者的手法相當狡猾，他們利用“白加黑”技術(shù)，向QQMusic.exe文件中注入了惡意的DLL文件。這個DLL文件在被加載后，會解壓出一個專門用于劫持網(wǎng)頁的模塊，并安裝一個惡意驅(qū)動。這一連串的操作，最終使得當用戶訪問特定網(wǎng)址時，會被重定向至非法傳奇私服游戲的發(fā)布頁面。

原本用戶期望訪問的是QQ音樂的官方網(wǎng)站，但在遭受劫持后，頁面卻變成了傳奇私服游戲的推廣信息。

這個惡意驅(qū)動還具備相當高的隱蔽性。它能夠檢測到ARK工具驅(qū)動，并對其進行干擾，以隱藏自身的存在。同時，該驅(qū)動還會干擾安全軟件的正常通信，進一步增加了檢測和清除的難度。

火絨對惡意DLL文件的執(zhí)行邏輯進行了詳細分析，并將其劃分為三個階段。在初始階段，DLL文件會釋放并運行傳奇私服程序，然后下載配置文件，并根據(jù)配置中的指令選擇后續(xù)的操作路徑。

接著進入下載劫持模塊階段，根據(jù)配置的不同分支，DLL文件會負責下載并執(zhí)行劫持模塊。盡管第三個分支因無法成功下載文件而具體行為未知，但火絨仍將其歸類于這一階段。

最后是劫持模塊的執(zhí)行階段，該模塊會實施網(wǎng)頁劫持操作，將用戶訪問的指定網(wǎng)址重定向至非法傳奇私服游戲的發(fā)布頁面。

目前，火絨安全軟件已經(jīng)能夠攔截并清除上述病毒。用戶可以通過火絨安全產(chǎn)品獲取相關(guān)的防護和查殺服務(wù)，同時，火絨也提供了完整的技術(shù)分析報告，供感興趣的用戶深入了解此次攻擊事件的細節(jié)。