近日,網(wǎng)絡(luò)安全公司Proofpoint(PFPT)的研究人員發(fā)現(xiàn)一個代號為“KovCoreG”的黑客組織長期在使用虛假的瀏覽器或Flash更新提醒消息來誘騙受害者安裝惡意軟件Kovter。
該組織在PornHub(一個色情影片分享網(wǎng)站)上通過惡意廣告將受害者重定向到“緊急更新”的釣魚網(wǎng)站頁面。根據(jù)受害者使用的瀏覽器不同,受害者會收到不同內(nèi)容的更新提醒消息。
例如,使用 Chrome瀏覽器和Firefox瀏覽器的受害者將收到要求下載瀏覽器更新的提醒消息,而使用IE瀏覽器和Edge瀏覽器的受害者收到的則是要求下載Flash更新的提醒消息。
當(dāng)然,如果受害者點擊了“更新按鈕”是不可能得到正確的更新的。相反,得到的文件是安裝惡意軟件Kovter的JavaScript(Chrome,F(xiàn)irefox)或HTA(IE,Edge)文件。
功能多樣性的惡意軟件Kovter是目前發(fā)現(xiàn)的最先進(jìn)的惡意軟件家族。它包含了復(fù)雜的功能,如文件不用落盤,擁有只創(chuàng)建一個注冊表鍵值就可以感染系統(tǒng)的能力,這讓很多反病毒產(chǎn)品很難探測到它。
另外,Kovter采用rootkit功能來進(jìn)一步隱藏自身的存在,并會積極的識別和關(guān)閉安全解決方案。
Kovter首次出現(xiàn)是在2015年,一直被用作其他惡意軟件家族的下載者,一個負(fù)責(zé)偷取個人信息的工具,一個用于獲得系統(tǒng)訪問權(quán)的后門。
然而在2016年,Kovter開始被用作廣告欺詐惡意軟件。這種惡意軟件可以被用于劫持系統(tǒng),并使用它去訪問網(wǎng)站、點擊廣告,這是為了在廣告競價活動(被稱為點擊劫持)中創(chuàng)造更多的點擊量。
英國、美國、加拿大、澳大利亞成主要受災(zāi)區(qū)Proofpoint的研究人員在發(fā)現(xiàn)這個惡意廣告活動后及時通知了Pornhub和Traffic Junky(一家美國廣告商)。這兩家公司也在接到通知后,選擇了介入以及關(guān)閉了諸如此類的惡意廣告。
研究人員還發(fā)現(xiàn),KovCoreG組織使用了ISP和Geofilters濾鏡(地理位置濾鏡)來篩選出他
們想要攻擊的目標(biāo)。如果計算機(jī)的IP地址沒有通過相同的ISP和Geofilters濾鏡,則下載的文件(JavaScript或者HTA文件)將不會在計算機(jī)上執(zhí)行。
目前,PornHub惡意廣告系列主要針對美國、英國、加拿大和澳大利亞的用戶。
京公網(wǎng)安備 11010502049343號