QQ音乐遭利用加载恶意文件！网站被劫持推广私服

1月22日，火绒发布技术分析，称QQ音乐遭遇“白加黑”利用，网站被劫持推广传奇私服。

火绒表示，近期火绒威胁情报中心监测到QQ音乐目录下存在异常进程自启现象，经溯源分析，确认该进程文件为2021年版本的QQMusic.exe文件。

攻击者利用“白加黑”技术加载恶意DLL文件，解压出劫持网页模块，随后安装用于劫持网页的恶意驱动，最终达成将指定网址劫持至私服发布页面的攻击目的。

此外，该恶意驱动还可检测ARK工具驱动，并对其进行断链以隐藏自身驱动，同时对安全软件的通信进行干扰。

根据火绒的分析，恶意DLL文件执行逻辑可以分为以下三个阶段：

初始阶段：样本首先释放并运行原始文件，即传奇私服程序，随后下载配置文件并检查指定文件和注册表决定进入哪条分支。