HTTPS劫匪木马重出江湖，单日攻击高达190万次！

Posted 2021-04-30 四维圣光

每到年底都是网络安全事件频发的高峰时期，2018年年末的互联网同样也不太平。近日，360安全大脑提供的网络监控数据显示，此前曾大范围影响国内网络的HTTPS劫匪木马再次活跃传播，单日攻击高达190万次，多家新闻、娱乐、购物网站遭殃。

2017年8月，360互联网安全中心捕获了一种专门劫持主流搜索引擎和电商网站的HTTPS“劫匪木马”。此木马通过导入虚假证书进行中间人攻击的方式突破HTTPS加密连接，用“移花接木”的手法篡改各大网站的广告内容和指向链接，利用用户对大型网站的信任心理获利。

                  

HTTPS劫匪木马通常以色情播放器、各类破解软件甚至系统盘文件作为伪装，诱骗用户关闭安全软件后在电脑中隐蔽潜伏。当用户访问搜索、电商等知名网站时，HTTPS劫匪木马会把连向站点的链接重新定向到本地的监听端口。木马在本地架设kanlewebserver进行流量劫持，然后在对应页面插入一个js恶意脚本篡改页面，这种方法能够突破国内大量知名站点的HTTPS加密连接。

此次发现的HTTPS劫匪木马最新变种通过各类“小电影”站点进行传播，并在原有证书的基础上增加了15个新域名，签发域名上升至48个。一旦用户中招，该木马不仅会将多个软件的正常弹窗新闻页面替换为推广的网站内容，还会使用用户设备上登录的微博对特定账号添加关注。

360安全专家表示，感染了HTTPS劫匪木马最新变种的用户若登陆了微博账号，会对两个特定的微博账号添加关注，目前这两个账号已经拥有了超过7000个粉丝。除了关注微博之外，该木马还会替换京东购物网站上提供的京东APP安装二维码，用户一旦扫描此二维码将会安装某推广软件。

除了篡改网页内容之外，由于此恶意软件本身的问题，会导致用户在进行网络浏览时遇到各种故障。如腾讯游戏的相关页面被劫持后其验证码输入窗口就会跳转到某头条网站，造成用户无法正常登录游戏官网。

HTTPS技术的诞生和普及，很大程度上是为了提升站点的安全性。但HTTPS技术并非万能，近期已经有多款木马已经将HTTPS作为突破口，并涉及一些账号登录、支付确认等涉及敏感用户信息的操作。为了保障大家的信息安全，大家可以通过安装360安全卫士、360手机卫士等产品，维护自身的财产和信息安全。