English Version
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 企业招聘 会员企业动态
小心!黑客组织KovCoreG正在利用虚假的浏览器和Flash更新来传播恶意软件
文章来源:FreeBuf.COM  作者:  发布时间:2017-10-12  浏览次数:28

近期,安全研究人员发现了一个名叫KovCoreG的黑客组织正在利用伪造的浏览器及Flash更新来欺骗用户安装Kovter恶意软件。

研究人员表示,攻击者使用了PornHub上的恶意广告来将用户重定向至一个诈骗网站,而这个网站回弹出“紧急更新”之类的窗口来欺骗用户安装“浏览器或Flash更新”,当然了,这种所谓的“更新程序”其实就是攻击者在这个诈骗网站上托管的恶意软件。

比如说,当用户使用Chrome或Firefox访问这个网页时,网站会询问用户是否需要下载浏览器更新补丁,如果用户使用的是IE或Edge浏览器的话,该网站则会询问用户是否需要下载Flash更新。

实际上,用户此时所下载下来的文件将会是一个JavaScript脚本(Chrome,Firefox)或HTA文件(IE,Edge),而这种恶意文件将会在目标用户的计算机中安装Kovter。Kovter恶意软件是一种多用途的恶意软件下载器,它可以在目标主机中下载广告欺诈软件、勒索软件和信息窃取软件等多种类型的恶意软件。

受影响地区主要为英国、美国、加拿大和澳大利亚

Proofpoint的研究人员通过分析后发现了KovCoreG的恶意广告活动,并将事件信息告知了PornHub以及Traffic Junky,因为这两个网站的广告网络都在此次恶意广告活动中被攻击者所利用。随后,这两家公司也撤下了相应的广告。【更新:该活动现在已蔓延至了雅虎的网站】

实际上,在近期所发现的恶意广告活动中,攻击者一般都会将目标用户重定向到一个社会工程学网站(诈骗或伪造下载内容等等)上,这已经形成了一种发展趋势,而这个黑客组织的操作手法同样顺应了这一趋势。但是在此之前,此类活动中的攻击者一般都会直接将目标用户重定向到一个托管了漏洞利用工具的网站上。

研究人员表示,KovCoreG使用了ISP以及基于地理位置的过滤器来筛选他们所要攻击的目标用户。值得注意的是,他们在PornHub上的恶意广告活动主要针对的是美国、英国、加拿大和澳大利亚地区的用户。

除此之外,该活动还有一个非常奇怪的地方,即他们在目标主机中下载的文件:JavaScript和HTA文件。奇怪的地方就在于,如果目标用户的IP地址没有顺利通过ISP以及GEO过滤器的检测,那么这两种文件将不会在目标用户的主机中运行。研究人员猜测,这种二次检测的目的是为了限制安全研究专家对他们的活动进行分析。

就在两周之前,Malwarebytes的安全研究人员还在MSN.com上发现了类似的恶意广告活动,当时的攻击者使用了Taboola广告网络来托管他们的恶意广告。当用户点击了恶意广告之后,他们将会被重定向到一个技术支持诈骗网站上。

如果你还想了解更多关于KovCoreG以及Taboola恶意广告活动的详细内容,请参考下面这两篇报告:【KovCoreG】【Taboola】(点击阅读原文查看相关链接)

* 参考来源:bleepingcomputer,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


免责声明:本文仅代表作者个人观点,与www.aohsmart.com网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 年家浜路526号 周浦万达广场C栋1710室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.aohsmart.com
在线留言 | FEEDBACK
Copyright 2012-2017 SC Alliance, All Rights Reserved        沪ICP备14020833号        上海奥航智能科技有限公司