近期,网安研讨人员发明了一个名叫KovCoreG的黑客构造正在应用捏造的浏览器及Flash更新来诱骗用户装置Kovter恶意病毒木马软件。
研讨人员表现,入侵攻击者应用了PornHub上的恶意病毒木马告白来将用户重定向至一个诱骗网站,而这个网站回弹出“紧急更新”之类的窗口来诱骗用户装置“浏览器或Flash更新”,固然了,这类所谓的“更新程序”实在便是入侵攻击者在这个诱骗网站上托管的恶意病毒木马软件。
比如说,当用户应用Chrome或Firefox拜访这个网页时,网站会扣问用户能否必要下载浏览器更新补钉,假如用户应用的是IE或Edge浏览器的话,该网站则会扣问用户能否必要下载Flash更新。
实际上,用户此时所下载上去的文件将会是一个JavaScript剧本(Chrome,Firefox)或HTA文件(IE,Edge),而这类恶意病毒木马文件将会在目标用户的盘算机中装置Kovter。Kovter恶意病毒木马软件是一种多用途的恶意病毒木马软件下载器,它可以在目标主机中下载告白讹诈软件、打单软件和信息盗取软件等多种范例的恶意病毒木马软件。
受影响地域重要为英国、美国、加拿大和澳大利亚
Proofpoint的研讨人员经由过程阐发后发明了KovCoreG的恶意病毒木马告白运动,并将变乱信息告知了PornHub和Traffic Junky,由于这两个网站的告白收集都在这次恶意病毒木马告白运动中被入侵攻击者所应用。随后,这两家公司也撤下了响应的告白。【更新:该运动如今已蔓延至了雅虎的网站】
实际上,在近期所发明的恶意病毒木马告白运动中,入侵攻击者一样平常都邑将目标用户重定向到一个社会工程学网站(诱骗或捏造下载内容等等)上,这曾经形成为了一种成长趋向,而这个黑客构造的操纵伎俩异样适应了这一趋向。然则在此以前,此类运动中的入侵攻击者一样平常都邑间接将目标用户重定向到一个托管了漏洞破绽bug应用对象的网站上。
研讨人员表现,KovCoreG应用了ISP和基于地理位置的过滤器来挑选他们所要入侵攻击的目标用户。值得注意的是,他们在PornHub上的恶意病毒木马告白运动重要针对的是美国、英国、加拿大和澳大利亚地域的用户。
除此之外,该运动还有一个异常奇怪的处所,即他们在目标主机中下载的文件:JavaScript和HTA文件。奇怪的处所就在于,假如目标用户的IP地点没有顺遂经由过程ISP和GEO过滤器的检测,那末这两种文件将不会在目标用户的主机中运转。研讨人员预测,这类二次检测的目标是为了限定网安研讨专家对他们的运动停止阐发。
就在两周以前,Malwarebytes的网安研讨人员还在MSN.com上发明了类似的恶意病毒木马告白运动,当时的入侵攻击者应用了Taboola告白收集来托管他们的恶意病毒木马告白。当用户点击了恶意病毒木马告白以后,他们将会被重定向到一个技术支持诱骗网站上。
发表评论