欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

伪造浏览器更新推送的勒索软件和银行木马攻击活动分析

来源:本站整理 作者:佚名 时间:2019-03-06 TAG: 我要投稿

最近,我们发现了一个恶意广告软件注入脚本,该脚本可以将伪造的浏览器更新提示推送给网站访问者。
下面是典型的伪造更新请求的示例,黑客在网站上伪造了Firefox的更新中心消息并显示:

用户将会看到一个消息框,指出这是用户浏览器所对应的“更新中心”。我使用的是Firefox,但同时还有Chrome、Internet Explorer和Edge浏览器对应的提示消息框。
在该消息中显示:“由于浏览器使用了过期版本,导致发生验证错误。需要用户尽快更新浏览器”。为了加强“严重错误”的这一误导,恶意软件还会在后台显示出一些乱码的文本内容。
恶意软件提示下载并安装更新,以避免“丢失个人数据和存储的数据,发生机密信息泄露和浏览器错误”。该下载链接指向的是某个被攻陷的第三方站点上的exe和zip文件。大多数反病毒软件都可以有效检测到该Payload。
注入过程
经过研究,我们已经确定了利用上述手段在最近开展的几次大规模攻击。
黑客会对指向外部脚本的链接进行注入,或者将整个脚本代码注入到被入侵的网页上。
1. 外部Update.js脚本
以下是该广告系列使用的一些外部脚本链接示例:
· hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js – 225个被感染的站点
· hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js – 当前有54个受感染的站点
· hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js – 198个被感染的站点
在这些update.js文件中,都包含一个经过模糊处理后的脚本,用于创建虚假的浏览器更新覆盖窗口。在其中,还包含伪造更新文件的下载链接,例如:
var link_to_file='hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip
使用VirusTotal进行排查,发现有14个反病毒软件将该文件标识为特洛伊木马。我们可以在该平台上找到一些与之类似的文件。
今年2月发现的kvintek[.]com.ua站点上的可疑URL:

在1月份发现的另一个下载链接是:hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe 。
2. 内联脚本
在某些情况下,黑客并没有链接到外部脚本,而是在受感染网页的底部注入完整的恶意JavaScript代码。
在DLE网站上HTML代码底部注入的虚假更新代码:

注入的代码非常庞大,已经超过了90KB。为了隐藏这部分代码,攻击者增加了70多个空行,希望借此能让管理员在看到空屏幕后停止浏览后面的代码。
目前,我们看到有117个网站上存在此类恶意软件。
后来,攻击者改用注入上述外部链接的方式,可能是为了使注入的代码不再那么明显。但是,外部链接有一个明显的缺点,就是很容易将URL列入到黑名单之中。所以,攻击者后来又换回注入完整脚本的方法。并且,新版本的脚本显然更加轻量级,其大小小于30KB,并且不包含纯文本的下载链接。
最新版本的注入脚本如下图所示:

最新版本的恶意软件会在被攻陷的第三方网站上使用这些Payload链接:
· hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip
· VirusTotal:https://www.virustotal.com/#/file/3cb58a30d8580235ece2ad13adc6f09dee7ead170e28a7939b0e8125b116f4e9/detection
· hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip
· VirusTotal:https://www.virustotal.com/#/file/edb1b726f7c4f5f8e3ce1487a47ccedccf00fcfa958277abaa5860331bf41e4b/detection%2014%20/%2058
· hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip
· VirusTotal:https://www.virustotal.com/#/file/f1b4bf9f9db29cad11633fb16dae3e8df0fc8edbdf295191ab93b90f612f58a5/detection
虚假JPG文件中的压缩包Zip和恶意软件
其中的ZIP文件非常小,大约只有3KB。对于真正的Windows恶意软件来说,这个大小显然还不够。因此,我的同事Peter Gramantik对压缩包文件进行了分析,发现实际上它们只包含一个.js文件,其名称如下:
“update_2019_02.browser-components                                                                                                    .js”
在文件名中,“components”后面包含100个空格字符,看起来像是攻击者使用了一些隐藏文件扩展名的技巧。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载