HTTPS加密连接下的新型广告劫持木马：每日影响超200万次访问

近年来，随着互联网安全意识的提升，国内众多网站纷纷转向HTTPS加密连接，旨在保护网站内容免受篡改及用户数据免遭监听。尽管HTTPS被认为是较为安全的通信协议，但最近出现的一种新型木马却能轻易突破这一防线。

据360安全中心最新报告，一种专门针对主流搜索引擎和电商平台的HTTPS‘劫匪’木马活动显著增加。该木马利用‘中间人’攻击手法，在受害者的计算机上植入伪造证书，从而在用户访问大型网站时篡改页面，插入恶意广告。据360网络安全研究院的数据分析显示，这种木马每天影响的HTTPS访问次数超过200万。

这种HTTPS‘劫匪’木马通常伪装成色情播放器，诱导用户在关闭安全软件的情况下安装，随后在后台悄悄运行。一旦用户访问如搜索引擎或电商平台等知名网站，木马会将原本的链接重定向至本地监听端口，通过在本地设置kanleweb服务器进行流量劫持，并在页面中注入恶意JS脚本来篡改内容，进而突破大多数知名网站的HTTPS加密保护。

下图为360安全中心对HTTPS‘劫匪’木马的详细分析结果，包括木马如何通过伪装色情播放器进行传播（图1），以及木马在受害者计算机上安装kanleweb服务器的具体操作（图2-图5）。此外，报告还展示了木马如何在搜索引擎和电商网站中插入恶意广告（图6-图9），以及通过中间人攻击方式实现这一目的的技术细节（图10）。

鉴于HTTPS加密连接的网站通常涉及重要账户和个人数据，用户应高度警惕此类木马，避免因下载来源不明的软件而导致个人信息泄露等严重后果。建议用户在下载任何软件时，保持安全软件开启状态，对于未知来源的软件安装请求，务必谨慎处理。

[注：本文部分内容基于360网络安全研究院的研究报告，原发布日期为2017年8月17日。]