一个有组织的,高度动态的恶意软件传播行为一直在利用数千个被黑网站将用户重定向到假冒软件更新的网页,试图用恶意软件感染它们。
根据Malwarebytes研究人员Jerome Segura的说法,他分析了多个感染链,并将这些研究结合在一起得出,这种行为于四个月前即2017年12月开始。
Segura将该行为命名为“ FakeUpdates ”,因为所有恶意网站都会将用户重定向到存放各类软件更新包(通常为Google Chrome,Mozilla Firefox,Internet Explorer或Adobe Flash Player)的网页。
黑客从被黑网站窃取流量
这种行为背后的黑客利用被黑网站为假冒更新网页劫持合法流量。
Segura说,他发现大部分流量来自被黑的WordPress,Joomla和Squarespace网站,但Malwarebytes研究员表示,他发现黑客也利用其他CMS平台,它们一般都运行的是过时的或有漏洞的版本。
黑客劫持这些网站流量的方式是通过将JavaScript代码注入站点上已有的JS文件中,或者加载一个新的JS文件到网站中。
这个恶意JS代码的作用是让用户通过一系列自动重定向,最终访问到黑客放置假冒更新网页的被黑的网站。[见下面的GIF]
假冒更新网页传播网银木马、远程访问木马
被骗下载假冒更新软件包的用户没有收到EXE文件,而是另一个JS脚本,通常放置在Dropbox链接上,运行JS脚本将下载并安装最终的恶意软件。
Segura说,在他的试验,他收到的恶意软件是Chthonic网银木马,但有其他报告也描述了FakeUpdates传播的NetSupport远程访问木马(RAT)。
“诱饵文件由脚本而不是恶意可执行文件组成,使攻击者能够灵活地开发有意思的混淆和指纹技术”,Segura解释说。
FakeUpdates是一种新的进化
总体而言,FakeUpdates恶意软件传播行为与Bleeping Computer和其他安全研究人员过去曾报告过的内容有些相似。
随着主要漏洞攻击包的失败,黑客们开始转向创建被黑网站的巨大僵尸网络,并使用流量分发系统将合法流量从这些网站流向恶意网页。
在过去的一年中,大部分被劫持的流量都进入了所谓的“社交工程”网页,这是一类包括支持欺诈的经典技术和浏览器锁(类似勒索软件)攻击,同时也是利用“假冒更新”诡计。
假冒更新方式是去年再次受欢迎的一个老招,因为攻击包开始失去知名度。但在FakeUpdates出现之前,首先有网站试图欺骗用户下载缺少的字体包,就是“假冒更新”把戏的变种。
随着这一年的发展,到2017年年底,实际的“假冒更新”风潮开始出现,有报道指出利用雅虎恶意广告的活动,黑客入侵Magento网站以及GitHub存储库欺骗用户下载和安装有恶意软件的“假冒更新”。
FakeUpdates是最新的恶意软件传播方式,被越来越多的网络犯罪分子利用,改进现有技术,并随着时间的推移构建大规模基础架构。
尽管如此,随着FakeUpdates变得越来越大,它还是留下了更多的证据,诸如Segura这样的安全研究人员可以将它们的操作方式放到一起来并将其揭秘。随着对这种方式的工作原理的深入了解,现在可以更新基于Web和桌面的安全软件来防御攻击。
由于信息安全行业更多的人将注意力放在他们的运营上,因此“假冒更新”的攻击将变得不那么有效。