火絨安全近日發文，稱“撕開魯大師為首系列企業流量劫持黑幕”。

火絨安全實驗室監測發現，包含成都奇魯科技有限公司、天津杏仁桉科技有限公司在內的多家軟件廠商，正通過雲控配置方式構建大規模推廣產業鏈，遠程開啓推廣模塊以實現流量變現。

火絨安全稱，這些廠商通過雲端下達配置指令，動態控制軟件的推廣行為，不同公司及其產品的推廣方式各有差異。以成都奇魯科技旗下的魯大師為例，其推廣行為涵蓋但不限於：

• 利用瀏覽器彈窗推廣“傳奇”類頁遊

• 在未獲用户明確許可的情況下彈窗安裝第三方軟件

• 篡改京東網頁鏈接並插入京粉推廣參數以獲取佣金

• 彈出帶有渠道標識的百度搜索框

• 植入具有推廣性質且偽裝為正常應用的瀏覽器擴展程序等

火絨安全表示，儘管流推廣向來是互聯網公司常用的盈利模式，然而這些廠商卻運用了多種技術對抗手段，以阻礙安全分析與行為復現，蓄意隱匿其損害用户體驗的行為。它們在未充分向用户告知或故意模糊告知相關情況的前提下，利用用户流量進行變現操作。通過偽裝成正規應用的方式，與用户“捉迷藏”，使用户難以識別並定位真正的推廣源頭。這些主體採用各種手段規避網絡輿論監督，逃避公眾審查。

火絨安全還稱，數十餘家不同時間、不同地區註冊的公司通過隱蔽的關聯關係相互連接，利用隱藏的結算體系進行利益輸送，並通過極其相似的雲控模塊向用户終端推送各類推廣產品。為了逃避監管和技術追蹤，這些公司採用了數據加密、代碼混淆、動態加載、多層跳轉等多種技術對抗手段。

根據火絨安全情報中心的統計數據，大量軟件包含本文所述的推廣模塊。下圖中列表列出的軟件被發現與本次威脅具有較強相關性（包括但不限於）：

火絨安全表示多數軟件中的推廣模塊及 Lua 推廣腳本會檢測瀏覽器歷史記錄，以規避特定人羣。系統會匹配歷史記錄中的頁面標題，檢測是否包含“劫持”、“捆綁”、“流氓軟件”、“自動打開”等關鍵詞，一旦發現則停止向該用户推廣，以規避曾搜索過此類內容的用户。

火絨安全還稱，在劫持瀏覽器的過程中，會對用户是否訪問過周鴻禕的微博進行檢測，若檢測結果為已訪問，則不會進行推廣。