這些惡意軟件負(fù)載隱藏在 JavaScript 代碼中,并偽裝成 .png 文件,通過(guò) PowerShell 腳本進(jìn)行部署,突顯了用戶提高警惕和加強(qiáng)端點(diǎn)保護(hù)措施的必要性。
假瀏覽器更新已成為傳播惡意軟件的一種常見(jiàn)方法,正如 eSentire 的威脅響應(yīng)小組(TRU)最近的發(fā)現(xiàn)所強(qiáng)調(diào)的那樣。2024 年 5 月,TRU 發(fā)現(xiàn)了假更新分發(fā) BitRAT 和 Lumma Stealer 的實(shí)例,這兩種惡意軟件因其數(shù)據(jù)竊取能力而臭名昭著。
攻擊通常從用戶訪問(wèn)包含惡意 JavaScript 代碼的受損網(wǎng)頁(yè)開(kāi)始,該代碼會(huì)將用戶重定向到一個(gè)偽造的更新頁(yè)面,敦促他們從 Discord 的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)下載名為“Update.zip”的 Zip 存檔,這個(gè)存檔中包含一個(gè) JavaScript 文件(Update.js),這是最初的下載器,在執(zhí)行時(shí)獲取負(fù)載。
在執(zhí)行 Update.js 后,會(huì)激活多個(gè) PowerShell 腳本,這些腳本托管在一個(gè)已知的 BitRAT 命令與控制(C2)地址上,這些腳本有助于下載和執(zhí)行后續(xù)負(fù)載,這些負(fù)載偽裝成具有各種功能的 .png 文件,包括加載、持久性和實(shí)際負(fù)載傳遞。
其中一個(gè)負(fù)載 BitRAT 擁有許多功能,如遠(yuǎn)程桌面訪問(wèn)和加密貨幣挖礦,另一個(gè)檢測(cè)到的負(fù)載 Lumma Stealer 專門竊取敏感數(shù)據(jù),如加密貨幣錢包和瀏覽器擴(kuò)展,作為一種服務(wù)式惡意軟件(Malware-as-a-Service)運(yùn)行。
假更新作為傳遞渠道的使用,突顯了用戶對(duì)更新提示合法性保持警惕的必要性,實(shí)施強(qiáng)大的端點(diǎn)保護(hù)工具和開(kāi)展安全意識(shí)培訓(xùn)項(xiàng)目可以有效地減輕此類威脅。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)