IPv6网络功能被滥用,劫持腾讯、百度等软件更新重定向下载恶意软件

0 7
近日,网络安全公司 ESET 发布报告称,一个名为 TheWizards 的黑客组织正在利用 IPv6 网络功能发动攻击。该组织通过滥用 IPv6 协议中的“无状态地址自动配置”(SLAAC)功能,实施“SLAAC 攻击”,劫持软件更新并安装恶意软件。
IPv6网络功能被滥用,劫持腾讯、百度等软件更新重定向下载恶意软件插图

TheWizards 使用其定制工具 Spellbinder 发送伪造的路由器通告(RA)消息,诱导附近的设备自动获取新的 IPv6 地址、DNS 服务器及默认网关。这个网关实际上是“Spellbinder”工具的 IP 地址,使攻击者能够拦截通信并将流量重定向至其控制的服务器。

IPv6网络功能被滥用,劫持腾讯、百度等软件更新重定向下载恶意软件插图1

该工具通过名为“AVGApplicationFrameHostS.zip”的压缩文件传播,解压后伪装成合法软件目录。其中包含恶意文件“wsc.dll”,借助合法工具“winpcap.exe”加载至内存。感染后,该工具会监控特定域名流量,尤其是腾讯、百度、迅雷、优酷、爱奇艺、金山、芒果 TV、风行、有道、小米、小米 MIUI、PPLive、美图、奇虎 360 和暴风等中国软件更新服务器相关的域名。

一旦发现连接请求,它会重定向下载恶意更新,安装后门程序“WizardNet”,让攻击者持续控制设备并安装更多恶意软件。这种攻击方式使得用户在不知不觉中就下载了恶意软件,对网络安全构成了严重威胁。

抢域名

也许您对下面的内容还感兴趣:

暂无相关推荐!

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
你必须 登录 才能发表评论.