近日，360云安全系統監測到一起大規模軟件掛馬攻擊事件。攻擊團伙通過頁面廣告，向國內多款視頻播放器，部分輸入法及新聞類客戶端內插入攻擊代碼，通過在用戶設備上植入后門，后續可能進行勒索、挖礦、軟件推廣等多種惡意操作。

鑒于當前攻擊仍在蔓延，日均攔截攻擊次數多達10萬余次，360安全專家特別提醒用戶盡快使用360安全衛士做好防護。

圖1:360安全衛士官方微博截圖

據360安全專家分析，此次攻擊者在軟件廣告頁中植入的木馬是利用了系統漏洞。以某知名播放器的“博眼球”廣告頁為例，該廣告頁具備站長統計功能。但是，攻擊者向該數據統計頁面中插入了指向另一個“陷阱”站點的標簽。用戶一旦點擊頁面上的廣告，鏈接最終會跳轉到“陷阱”頁面上，執行漏洞代碼。

這些代碼一旦被執行，會從該站點下載惡意程序到文件夾并命名為winrar.exe執行。WinRAR.exe本質上是個Downloader，它會繼續下載各種不明文件到計算機上執行，相當于是為惡意程序“開了后門”，后續可能用于往受害者計算機中植入其他惡意軟件。

360安全團隊經過分析后發現，此次掛馬事件與之前國內發生的多起廣告頁面掛馬事件為同一團伙所為，該團伙在去年就曾通過軟件廣告頁面進行掛馬攻擊，向受害者計算機中強制安裝流氓推廣軟件。而今年初，該團伙還曾通過同樣的掛馬攻擊往受害者計算機中植入挖礦木馬牟利。

圖2:360安全衛士可全面攔截此類掛馬攻擊

據悉，此類掛馬攻擊利用的漏洞編號為CVE-2016-0189，這是一個關于VBScript的漏洞，主要是由于在VBScript腳本引擎的代碼vbscript.dll中存在數組訪問越界的問題，從而導致IE在打開某些精心設計的網站的時候，會自動執行惡意腳本代碼。由于該漏洞利用起來簡便，穩定，且成功率很高，所以被黑客們廣泛利用。

鑒于此，360安全專家特別提醒：只要及時修復系統漏洞，就可封堵此類木馬的入侵之門。廣大用戶應養成及時安裝系統補丁的好習慣，平時上網時使用360安全衛士實時監測防御木馬攻擊。目前，360安全衛士無需升級就可全面攔截此類掛馬攻擊。