今夜QQ大批量被盗发黄图我的简单分析

原作者酷安@JiuXia2025
今夜QQ大批量被盗发黄图我的简单分析

1.学习通泄露撞库不存在，加密方式不一样不能完全匹配，QQ密码应该是哈希加盐盐值和学习通绝对是不一样的
2.网传只要打开图片就会被盗是不存在的，文件缓存下来里面的数据只包含有图片的数据不存在木马
3.猜测：在qq内打开图片里面的网址会被盗取cookie或者session值然后批量发图片：
cookie和session是用于客户端与服务端鉴权的数据，用于验证账号
QQ客户端在打开腾讯的官方网站（游戏链接分享链接等）都会取值自动登录，这个被恶意网站给利用了，正好cookie和session含有能控制QQ账号的key（skey），从而批量发布图片
4.对网页的分析：图片里的域名打开后跳转到微软Azure服务器的ip再转跳腾讯云cos对象存储空间，二次转跳显示网页内容。。。然后在浏览器f12看网站源码，有一段长长的被加密的js代码，猜测是恶意取cookie值发送图片的
5.跟以前新闻上扫描二维码就被盗号的原理是有点相似的
6.可能不是通过旧版客户端登录协议，旧版手机QQ和WebQQ的登录协议早已关停，而新的登录协议：电脑/平板登录协议在登录时手机QQ都会有提示所以应该是不存在登录协议绕权访问
7.密码不安全及时更改QQ密码，不要扫描不信任的QQ登录二维码，以上仅个人猜测真实性不确定，等待官方公告通知，不信谣不传谣

更新：

刚刚看到的这个新的变种，就是假装成聊天记录，这个玩过qq复读机的应该都知道，xml框架的消息是可以修改的，像聊天记录这种xml看起来正常，一点进去就是链接

#QQ# 后续来了

没有看上一篇帖子的小伙伴戳：[链接]查看链接

1.腾讯官方回应：黑产团伙劫持扫码授权登录二维码发送不良图片

这个正好跟我我上一篇帖子说一样，劫持取到skey发送簧图，但是我帖子下面不止有扫码登录的也有打开链接和打开小程序被盗的，方法应该都是劫持skey

2.腾讯发现之后也及时修补了这个bug，而我这边抓出来的链接是腾讯云COS的也就是黑产团伙把网页托管在腾讯云COS服务上。正好我的私有云也是用的腾讯云COS存储文件[流汗滑稽]，今天下午我收到了来自腾讯云的邮件和短信要求做好安全管理，腾讯应该也会对COS进行安全审查，这么一来以后这种事情也会少出现了

为什么黑产团伙会用腾讯云COS托管网站？

因为腾讯云COS的链接已经默认在QQ微信里面过白了，直接就能打开，绕过了腾讯的网站安全检查

帖子下面还有学习通撞库的说法，用学习通数据批量匹配数据登录会触发风控，而旧版登录协议是早就关停了（旧版手机QQ和WebQQ），所以有几率但是几率很小很小，并且官方也半个字没提学习通，应该也是不存在的

我们要做的就是修改不安全的密码，不要登录不明来源的网页和扫描二维码。剩下等腾讯修复bug审查内容就好了。不信谣不传谣