技术文章

当前，很多人习惯于从非正规网站下载电影、软件等资源。然而，这些“免费午餐”背后，往往隐藏着精心设计的陷阱。攻击者将远程控制木马，伪装成电影资源，通过一系列专业手法，悄无声息地入侵并掌控用户的电脑。

近期，有用户在尝试通过非正规渠道下载一部“蓝光电影”时，触发了“安全警报”。经核查，该电影资源捆绑了高度危险的DCRat后门病毒，其利用了一系列复杂技术手段试图绕过安全检测。这一事件再次揭示了一个残酷的现实：盗版软件、影视资源已成为黑客投毒、窃取信息的温床。攻击者正是利用了用户寻求“免费午餐”的心理，在热门资源中精心布置陷阱。

当前，网络已成为工作、学习、消费、社交等各类日常活动的重要支撑，随着“双12”、元旦、春节等网购高峰期的临近，用户浏览网站与消费行为将更加频繁。而这一时期，往往也是各类流氓推广行为的高发阶段。部分厂商依托这一普遍的上网常态加大推广力度，通过在用户系统中植入推广模块，实现对用户流量的隐蔽劫持与恶意操控，此类行为手法专业、对抗性强，让用户在不明确的情况下沦为被利用的流量工具。

当前，网络已成为工作、学习、消费、社交等各类日常活动的重要支撑，部分厂商依托这一普遍的上网常态加大推广力度，因此用户需提高警惕，防范各类隐蔽的流量劫持及恶意推广行为。 近期，火绒安全实验室监测发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广"传奇"类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。

近期，我们监测到一类通过低价出售Steam游戏激活码的恶意攻击活动。攻击者通过伪装官方工具诱导用户执行恶意脚本，进而植入恶意组件并窃取用户信息。

数字世界的暗流涌动之中,新型恶意代码的迭代从未停止,“银狐”系列木马变种正以隐蔽之态渗透各类终端设备。银狐于2020年首次现身,截至目前,其发展态势已渐趋复杂,攻击手段更为强劲。银狐及其源代码的二次售卖在地下灰色世界已经形成"产业链",近年来不断进化、高频出现,为终端安全防护工作敲响了警钟。

火绒威胁情报中心近期监测到一款专门锁定浏览器主页的病毒正加速蔓延。经溯源，该病毒的源头指向搜狗输入法。

近期，火绒工程师在关注安全动态过程中发现，存在一种后门病毒以伪装成搜狗输入法的形式进行传播。此病毒采用正规签名内嵌恶意脚本的手段，以规避安全检测。

Node.js 作为一种高性能的 JavaScript 运行环境，凭借强大的功能广泛应用于服务器端开发，为开发者带来诸多便利。然而，其灵活性和跨平台特性在受到开发者青睐的同时，也逐渐吸引了攻击者注意。

流氓软件如同数字世界的寄生虫，长期侵扰用户电脑、破坏使用体验。它们往往通过看似无害的软件捆绑潜入系统，肆意弹窗广告、强制安装推广软件、窃取隐私甚至消耗系统资源，已成为网络安全环境的一大顽疾。

反作弊机制和匹配的公平性往往是竞技类游戏的重要决定性因素，由此也诞生了对应的技术平台，其中就包括Faceit。Faceit类似于国内的完美平台、5E 对战平台等第三方对战平台，主要为第一人称射击游戏提供在线匹配、反作弊服务等服务，受到不少游戏玩家的青睐。

随着国内互联网的爆发式增长，流氓软件也在不断地发展。其推广手段的不断迭代升级，反映出技术、商业与监管各方之间的复杂博弈。多数流氓软件都具备强制安装，难以卸载，捆绑推广，弹窗广告等恶意行为，通过挟持用户终端资源变现。从合作捆绑到群魔乱舞，网民的觉醒是否让流氓软件黔驴技穷了呢?并不见得，如今流氓软件也具备了“柿子挑软的捏”的特质。会尝试规避有杀软的电脑，规避访问技术论坛的技术人士，甚至规避短时间内成功卸载过流氓软件的用户。一方面我们希望源头处做好监管，一方面我们也希望每个人都能了解到流氓软件的恶行并加以规避。