雷鋒網宅客頻道消息，據騰訊御見威脅情報中心監測發現某輸入法軟件及某網吧管理軟件內嵌的廣告頁面遭遇網頁掛馬攻擊，這些軟件啓動時，會自動打開內嵌的廣告頁面。

　　盜號木馬團伙使用黑客技術精心構造了含漏洞攻擊代碼的廣告（漏洞編號：CVE-2018-8174）。隨着廣告頁面呈現，漏洞攻擊代碼被觸發，更多惡意軟件被下載安裝。包括其他木馬下載器、Steam盜號木馬、廣告刷量木馬。

　　相關數據表明，受掛馬影響的電腦超過5萬臺，其中有大約20%（即1萬餘臺電腦）被安裝多個盜號木馬、廣告刷量木馬，以及木馬下載器。

　　具體攻擊過程：

　　受掛馬攻擊的軟件在請求廣告時會訪問掛馬廣告頁面

　　掛馬URL：hxxp://jx2.yknszc.cn/cn2/；www.hftg4j.cn:2002/index.html

　　該廣告頁面中被嵌入了惡意腳本代碼，代碼通過ASCII編碼，解碼後內容爲嵌入一個iframe，指向www5.hpx0.cn:2005/hpx02005.html(另一個受影響的軟件會指向hxxp://www6.hpq0.cn/hpq02006.html)

　　www5.hpx0.cn:2005/hpx02005.html中同樣是一段ASCII編碼的腳本，解碼內容後發現其中包含CVE-2018-8174漏洞利用代碼，該漏洞影響多個版本的IE瀏覽器以及使用了IE內核的應用程序。

　　廣告模塊內置的IE瀏覽器在訪問掛馬頁面時，觸發漏洞執行了惡意代碼。

　　▲惡意腳本代碼

　　▲CVE-2018-8174漏洞利用代碼

　　漏洞觸發後執行hxxp://www.mini00.com:8888/006.hta，該腳本通過powershell.exe繼續下載和執行hxxp://www6.hpq0.cn:2006/2006.exe

　　有意思的是，通過病毒代碼分析，發現這起掛馬事件的始作俑者，會檢測受害電腦IP，如果位於北京上海廣東山東浙江五省市，就會停止進一步產生危害。

　　對於用戶來說不必恐慌，只需及時安裝操作系統補丁即可。