部分2345网址导航广告携带病毒，盗取热门游戏账号

4月1日凌晨，火绒安全团队发出警报，部分“2345导航站”首页的弹窗广告携带盗号木马，该病毒会偷取QQ、游戏平台（steam、WeGame）、知名游戏（地下城与勇士、英雄联盟、穿越火线）的账号。这是一次设计精巧、组织周密的大规模盗号行动，利用周末时间突然发起攻击，主要目标是网吧游戏用户。

火绒工程师分析，监测发现这次投毒行动仅在2345 网址导航的部分计费号上出现，推测可能这些计费返利号主要是网吧使用。而携带病毒的广告则是利用2345 网址导航广告模块进行投放的，所以网吧用户很大概率可以遇到这个广告。部分“2345导航站”首页右下角会弹出弹窗广告（上图红色箭头所指），该广告页面一经弹出，即可自动下载病毒，无需用户点击。病毒下载链接自动激活后，首先访问跳板网站“yyakeq.cn”（存放跳板脚本以及flash漏洞），然后再从“ce56b.cn”网站下载病毒，而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。

目前Adobe Flash Player 依然还没死，没死的同时无数电脑上安装的还是旧版本依然还存在各种安全漏洞。黑产团伙利用2345 网址导航投放病毒广告后直接向用户展示，用户无需进行任何点击就会被加载病毒模块。用户在全程无感知下输入自己的游戏账号然后被盗号，黑产团伙显然也知道网吧各个软件版本都是非常老的。而国内用户使用的国产浏览器例如搜狗浏览器、360 浏览器等如果Adobe Flash Player版本太低也会中招。受影响的Adobe Flash Player 版本在21.0.0.180~31.0.0.160之间，建议用户使用卸载或及时升级版本。

据火绒工程师分析此次攻击行为专门用来盗取热门游戏账号,  包括Steam平台及腾讯的WeGame平台账号。此外包括但不限于英雄联盟、穿越火线、地下城与勇士等热门游戏都会被监控并将用户账号上传到服务器上。黑产团伙不论针对的目标还是盗号的内容都指向游戏，看起来应该是想要盗取用户的账号进行洗号出售获利。