日前,360网购先赔接到用户邓先生反馈称:他在12306网站购买20元的火车票时,网银账户被莫名扣费2000元,钱全部转入某知名游戏充值平台。经360工程师分析,该用户使用的速达软件V7补丁中捆绑了网购木马,在其网银支付时篡改金额,再把交易资金劫持到游戏充值平台上销赃。据360安全卫士检测,速达官网上的V7补丁已捆绑木马超过半个月,很可能是其官网遭黑客入侵,木马下载量超过7万次。
图:360安全卫士拦截捆绑木马的速达V7补丁
据了解,速达是国内知名的企业管理软件厂商,主要服务对象是中小企业客户。此次360独家发现捆绑网购木马的速达软件V7补丁,用户群以中小企业财务人员为主,不少淘宝卖家也在使用该软件进行财务管理,被木马盗取2000元网银资金的邓先生就是广东省一名淘宝卖家。
技术分析显示,速达V7补丁捆绑的网购木马,会暗中监视受害用户的网上支付行为,并以篡改支付页面的黑客手段“拦路打劫”,把受害者的网购等资金劫持到黑客在第三方游戏充值平台上的账户购买游戏点卡,再销赃获利。该木马监视篡改的支付页面也非常多,包括农行交易页面、工行交易页面、招行交易页面、建行交易页面、建行U盾客户端、中国银行支付页面、交通银行支付页面、支付宝付款页面等多个网上支付页面。
值得警惕的是,速达V7补丁不光捆绑了一个网购木马,它在被用户下载运行时还会在系统中安插一个Gh0st远控木马,从而使不法分子能够随时遥控受害者电脑,包括窃取文件、控制摄像头偷拍、记录键盘输入信息等,对受害者的个人隐私和帐号安全也造成严重危害。
在发现速达官网软件捆绑木马后,360互联网安全中心已第一时间通知对方尽快清理。安全专家石晓虹博士建议,近期从速达官网下载软件的用户,应使用360安全卫士或360杀毒进行全盘扫描,并注意开启安全软件防护,以免遭遇经济损失。