IT之家 11 月 12 日(ri)(ri)消(xiao)息(xi)，火絨安全 11 月 11 日(ri)(ri)發文，稱“撕開魯(lu)大師為(wei)首系列(lie)企業流量(liang)劫持黑幕(mu)”。

火絨安全實驗室監測發現，包含成都奇魯科技有限公司、天津杏仁桉科技有限公司在內的(de)多家軟(ruan)件(jian)廠商，正通過云控配置方式構建大規模推(tui)廣產業(ye)鏈，遠程開啟推(tui)廣模塊以實現流量變現。

火絨安全稱，這些廠商通過云端下達配置指令，動態控制軟件的推廣行為，不同公司及其產品的推廣方式各有差異。以成都奇魯科技旗下的魯大師為例，其(qi)推廣行為涵蓋但不限于：

• 利用(yong)瀏(liu)覽器彈窗推廣“傳奇”類頁游

• 在未獲用(yong)戶明確(que)許可的(de)情況下彈窗安裝第三方軟件

• 篡改京(jing)東(dong)網頁鏈(lian)接并插入京(jing)粉推廣參數以(yi)獲取傭金

• 彈出帶(dai)有(you)渠道(dao)標識的百(bai)度搜(sou)索框

• 植入具(ju)有推廣(guang)性質且(qie)偽裝(zhuang)為(wei)正常應用的瀏覽器(qi)擴展程序等

火絨安全表示，盡管流量推廣向來是互聯網公司常用的盈利模式，然而這些廠商卻運用了多種技術對抗手段，以阻礙安全分析與行為復現，蓄意隱匿其損害用戶體驗的行為。它們在未充分向用戶告知或故意模糊告知相關情況的前提下，利用用戶流量進行變現操作。通過偽裝成正規(gui)(gui)應(ying)用(yong)的方式，與用(yong)戶“捉迷藏(zang)”，使(shi)用(yong)戶難以識別并(bing)定位真(zhen)正的推(tui)廣源(yuan)頭。這些主體采(cai)用(yong)各種手段規(gui)(gui)避網絡輿論監督(du)，逃避公眾審(shen)查(cha)。

火絨安全還稱，數十余家不同時間、不同地區注冊的公司通過隱蔽的關聯關系相互連接，利用隱藏的結算體系進行利益輸送，并通過極其相似的云控模塊向用戶終端推送各類推廣產品。為了逃避監管和技術追蹤，這些公司采(cai)用了數據加密、代碼混淆、動(dong)態加載(zai)、多層跳轉等多種技術對抗手段。

根據(ju)火絨(rong)安全情(qing)報中(zhong)心的(de)統計數據(ju)，大量軟(ruan)件包含本文所述的(de)推廣模塊(kuai)。下(xia)圖中(zhong)列表(biao)列出(chu)的(de)軟(ruan)件被(bei)發現(xian)與本次(ci)威脅具有較強相關性（包括但不限于）：

IT之家在文章中注意到，火絨安全表示多數軟件中的推廣模塊及 Lua 推廣腳本會檢測瀏覽器歷史記錄，以規避特定人群。系統會匹配歷史記錄中的頁面標題，檢測是否包含“劫持”、“捆綁”、“流氓軟件”、“自動打開”等關鍵詞，一旦發現則停止向該(gai)用(yong)戶推廣，以規(gui)避曾搜索過此類內容的用(yong)戶。

火絨安全還稱，在劫持瀏覽器的過程中，會對用戶是否訪問過周鴻祎的微博進行檢測，若檢測結果為已訪問，則不會進行推廣。

廣(guang)告(gao)聲明：文內含有(you)(you)的對外跳轉鏈(lian)接（包括不限于超鏈(lian)接、二(er)維碼、口(kou)令等形式），用于傳遞更多信(xin)息，節省甄選時(shi)間，結(jie)果僅供參考，IT之家所(suo)有(you)(you)文章均(jun)包含本聲明。