卡巴斯基实验室(Kaspersky Lab)的安全专家发现了一种新的攻击技术,该技术由骗子用来诱骗受害者访问受感染网站时安装恶意的“安全证书更新”来分发恶意软件。
我们已经观察到威胁行动者散布伪装成合法软件更新的恶意软件。这项新技术与之前的技术不同,因为受感染网站的访问者被要求安装软件更新,因为安全证书已经过期。
卡巴斯基发表的报告:
“我们最近发现了一种新方法来处理这种众所周知的方法:访问受感染站点的访问者被告知某种安全证书已经过期。不出所料,这次更新是恶意的。”
“我们在各种主题的网站上检测到了感染-从动物园到销售汽车配件的商店。发现的最早感染可追溯到2020年1月16日。”
受感染的网站会显示一条消息,声称该网站的安全证书已过期,并敦促访问者安装“安全证书更新”以正确查看该网站的内容。
该消息包含在iframe中,并通过ldfidfa [。] pw / jquery.js脚本从第三方服务器加载内容。并且加载脚本后,URL栏仍显示合法地址。
“jquery.js脚本覆盖了一个与页面大小完全相同的iframe,”分析继续进行。因此,用户看到的不是原始页面,而是一个看似真实的横幅,紧急提示安装证书更新。一旦受害者点击了更新按钮,就会下载一个文件(Certificate_Update_v02.2020.exe).
可执行文件解包并向受害者安装两个恶意软件变体中的一个,跟踪为Mokes和Buerak。Mokes后门允许黑客在受害者的电脑上执行任意命令,它适用于Linux、Windows和OS X. Buerak是一个基于Windows的特洛伊木马,实现了后门功能和反分析技术。卡巴斯基的专家在他们的分析中包括了妥协的指标(IoCs)。
