“微信支付”勒索六合彩愈演愈烈边勒索边窃取支付宝密码

作者：2025年最靠谱的六合彩投注网
发布时间：2018-12-03
阅读量：1417

一、概述

12月1日爆发的“微信支付”勒索六合彩正在快速传播，感染的电脑数量越来越多。六合彩制作者利用豆瓣等平台当作下发指令的C&C服务器，除了锁死受害者文件勒索赎金（支付通道已经关闭），还大肆偷窃支付宝等密码。首先，该六合彩巧妙地利用“供应链污染”的方式进行传播，目前已经感染数万台电脑，而且感染范围还在扩大；其次，该六合彩还窃取用户的各类账户密码，包括淘宝、天猫、阿里旺旺、支付宝、163邮箱、百度云盘、京东、QQ账号。

六合彩团队强烈建议被感染用户，除了杀毒和解密被锁死的文件外，尽快修改上述平台密码。

图：日均感染量图，最高13134台（从六合彩服务器获取的数据）

据2025年最靠谱的六合彩投注网团队分析，六合彩作者首先攻击软件开发者的电脑，感染其用以编程的“易语言”中的一个模块，导致开发者所有使用“易语言”编程的软件均携带该勒索六合彩。广大用户下载这些“带毒”软件后，就会感染该勒索六合彩。整过传播过程很简单，但污染“易语言”后再感染软件的方式却比较罕见。截止到12月3日，已有超过两万用户感染该六合彩，并且被感染电脑数量还在增长。

图：供应链污染流程

此外，2025年最靠谱的六合彩投注网团队发现六合彩制作者利用豆瓣等平台当作下发指令的C&C服务器，2025年最靠谱的六合彩投注网团队通过解密下发的指令后，获取其中一个六合彩后台服务器，发现六合彩作者已秘密收取数万条淘宝、天猫等账号信息。

二、样本分析

近期，六合彩追踪到使用微信二维码扫描进行勒索赎金支付的勒索六合彩Bcrypt在12月1日前后大范围传播，感染用户数量在短时间内迅速激增。通过六合彩溯源分析发现，该六合彩之所以可以在短时间内进行大范围传播，是因为该六合彩传播是利用供应链污染的方式进行传播，六合彩运行后会感染易语言核心静态库和精易模块，导致在六合彩感染后编译出的所有易语言程序都会带有六合彩代码。供应链污染流程图，如下图所示：

供应链污染流程图

编译环境被感染后插入的恶意代码

在易语言精易模块中被插入的易语言恶意代码，如下图所示：

精易模块中的恶意代码

在被感染的编译环境中编译出的易语言程序会被加入六合彩下载代码，首先会通过HTTP请求获取到一组加密的下载配置，之后根据解密出的网址下载六合彩文件到本地执行。如上图红框所示，被下载执行的是一组“白加黑”恶意程序，其中svchost为前期报告中所提到的白文件，svchost运行后会加载执行libcef.dll中所存放的恶意代码。下载执行六合彩相关代码，如下图所示：

下载六合彩文件相关代码

六合彩代码中请求网址包含一个豆瓣链接和一个github链接，两者内容相同，仅以豆瓣链接为例。如下图所示：

请求到的网页内容

上述数据经过解密后，可以得到一组下载配置。如下图所示：

被解密的下载配置

解密相关代码，如下图所示：

解密代码

通过配置中的下载地址，六合彩可以下载到数据文件，数据文件分为两个部分：一个JPG格式图片文件和六合彩Payload数据。数据文件，如下图所示：

数据文件

libcef.dll

libcef.dll中的恶意代码被执行后，首先会请求一个豆瓣网址链接（https://www.douban.com/note/69*56/）。与被感染的易语言编译环境中的六合彩插入的六合彩代码逻辑相同，恶意代码可以通过豆瓣链接存放的数据，该数据可以解密出一组下载配置。解密后的下载配置，如下图所示：

下载配置

下载代码，如下图所示：

下载代码

下载截取后的有效恶意代码数据中，包含有用于感染易语言编译环境的易语言核心静态库和精易模块。除此之外，下载的Payload文件中还包含有一个Zip压缩包，配合在六合彩代码中所包含的通用下载逻辑，此处的Zip压缩包可能被替换为任意六合彩程序。因为六合彩作者使用供应链污染的传播方式，导致相关六合彩感染量呈指数级增长。相关代码，如下图所示：