ZhuLink ZhuLink
登录

“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!火绒硬刚鲁大师、小鸟壁纸等
https://www.huorong.cn/document/tech/vir_report/1858

意外富翁 · 1个月前 · News · 10 · 0

原文是火绒发的一篇文章《 “捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!》

这种牛皮癣弹窗、跳转广告是谁背后搞小动作都知道,但是直接曝光硬刚也是真的牛

原文太长,让AI总结了一下核心:

网络已经渗透到我们生活的方方面面,但在这便利的背后,一些不法厂商正悄悄地利用你的上网习惯,构建起一个庞大的“流量变现”产业链,让你在不知不觉中成为他们的“摇钱树”。近期,火绒安全实验室就揭露了这一令人担忧的现象,多家软件厂商通过云控配置,远程操控软件推广,甚至进行流量劫持,严重损害用户体验。

那些你可能不知道的“推广套路”

你是否遇到过这样的情况?在使用电脑时,突然弹出各种广告,或者在不知情的情况下被安装了第三方软件?甚至连你熟悉的浏览器链接都被悄悄篡改,为你带来不必要的推广?这背后可能就是一些厂商在“搞鬼”。

以国内知名的硬件检测软件“鲁大师”为例,它就被发现利用浏览器弹窗推广页游、强制安装第三方软件、篡改京东链接赚取佣金、弹出带有推广标识的百度搜索框,甚至植入伪装成正常应用的浏览器扩展程序。

这些厂商为了实现“流量变现”,可谓是费尽心思,不仅利用了各种技术手段来隐藏自己的行为,还通过伪装成正规应用,与用户玩起了“捉迷藏”。它们利用用户流量变现,却不充分告知用户,甚至故意模糊相关信息,让用户难以识别和定位真正的推广源头,以此来逃避监管和公众的审查。

揭秘幕后的“利益网”

火绒安全实验室通过深入调查,发现了一个由数十家公司精心编织的产业网络。这些公司通过隐蔽的关联关系相互连接,利用隐藏的结算体系进行利益输送,并通过极其相似的云控模块向用户终端推送各类推广产品。为了逃避监管和技术追踪,它们更是采用了数据加密、代码混淆、动态加载、多层跳转等多种技术对抗手段。

通过对公开信息的梳理,我们发现“天津杏仁桉科技有限公司”和“成都奇鲁科技有限公司”(鲁大师的开发商)之间存在着密切的业务关联。杏仁桉科技搭建的“推广结算系统”后台,以及其用户中心系统仅允许以“@ludashi.com”为后缀的邮箱注册,都直接证明了这一点。

更令人惊讶的是,通过一个曾面向外网开放的程序自动构建网站,我们发现多家公司(包括天津简诚、重庆赫赫有盾、天津欣远等)的软件源码被托管并实现自动构建,其中就包含了本次威胁情报中涉及的一系列推广模块。这进一步证实了这些公司之间的技术协作关系。

狡猾的“规避术”:它们如何躲避侦测?

为了防止其具有争议性的推广行为被发现,这些推广模块采用了多种技术对抗手段。它们通过云控配置实时调整自身行为,专门规避技术人员和安全研究人员,精准针对普通用户投放。

它们会根据用户的系统环境、地理位置、使用时长、是否充值等多维度信息来判断用户价值,仅对“安全”目标、“小白”用户启动推广行为,让推广行为更加隐蔽。

具体来说,它们会进行以下“规避”操作:

  • 地区规避: 根据用户所在地区,动态调整推广配置,例如北京地区的用户可能会收到较少的推广。
  • 渠道规避: 区分用户是否从官网下载,非官网渠道下载的用户更容易收到推广。
  • 用户环境规避: 检测用户是否处于虚拟机、是否是会员、是否安装了杀毒软件、是否是技术人员等,从而调整推广策略。
  • 浏览器历史记录检测: 检测用户是否搜索过与“劫持”、“捆绑”等相关的关键词,或者访问过技术类、投诉类网站,以此来规避特定人群。
  • 安装软件检测: 检测用户是否安装了其他杀毒软件或技术分析工具,以此来规避技术人员。
  • 进程检测: 检测是否运行了开发、调试、分析软件等技术性程序。
  • 任务栏图标个数检测: 检测任务栏图标数量,以规避测试环境或虚假用户。
  • 冷却时间: 设置推广的冷却期,避免过于频繁的推广。
  • 浏览器插件检测: 检测用户是否安装了淘客助手类插件,以规避推广从业者。

多样的推广手段:让你防不胜防

这些推广模块还会通过各种方式实现推广目的:

  • Lua脚本执行: 下载并加载浏览器插件,通过任务栏图标闪烁推广页游,下载更新自身组件。
  • 浏览器网页劫持: 在用户访问京东等链接时,额外跳转至红包领取页面;在百度搜索时添加渠道标识参数。
  • 弹窗安装软件: 静默安装第三方软件,用户难以察觉。
  • 浏览器弹出百度搜索框和“传奇”页游框: 引导用户进行带有推广标识的搜索,或点击推广链接。
  • 浏览器弹窗安装: 通过弹窗诱导用户点击,触发安装流程。
  • 锁定浏览器主页: 将用户浏览器主页锁定为推广网站。
  • 推广自身小工具: 利用弹窗推广自身开发的小工具。

火绒安全提醒:保护自己,刻不容缓!

火绒安全软件已实现对此类云控推广模块的识别、拦截及查杀。为保障您的设备安全与使用体验,远离流量劫持、强制弹窗、静默安装等不良行为的侵扰,建议广大用户:

  1. 更新火绒安全软件至最新版本。
  2. 启动全盘查杀功能,对设备进行全面扫描,及时清除潜在风险。

火绒将持续追踪相关威胁情报,为用户构建持续、可靠的安全防护屏障。让我们一起抵制这些不道德的“流量变现”行为,共同维护一个更干净、更安全的网络环境!

评论 0 条

暂无评论,来种下第一颗种子。