Kali 中文网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 85|回复: 0

小心!黑客组织KovCoreG正在利用虚假的浏览器和Flash更新来传播恶意软件

[复制链接]
发表于 2017-10-11 10:02:22 | 显示全部楼层 |阅读模式
近期,安全研究人员发现了一个名叫KovCoreG的黑客组织正在利用伪造的浏览器及Flash更新来欺骗用户安装Kovter恶意软件。
研究人员表示,攻击者使用了PornHub上的恶意广告来将用户重定向至一个诈骗网站,而这个网站回弹出“紧急更新”之类的窗口来欺骗用户安装“浏览器或Flash更新”,当然了,这种所谓的“更新程序”其实就是攻击者在这个诈骗网站上托管的恶意软件。
比如说,当用户使用Chrome或Firefox访问这个网页时,网站会询问用户是否需要下载浏览器更新补丁,如果用户使用的是IE或Edge浏览器的话,该网站则会询问用户是否需要下载Flash更新。
实际上,用户此时所下载下来的文件将会是一个JavaScript脚本(Chrome,Firefox)或HTA文件(IE,Edge),而这种恶意文件将会在目标用户的计算机中安装Kovter。Kovter恶意软件是一种多用途的恶意软件下载器,它可以在目标主机中下载广告欺诈软件、勒索软件和信息窃取软件等多种类型的恶意软件。
受影响地区主要为英国、美国、加拿大和澳大利亚
Proofpoint的研究人员通过分析后发现了KovCoreG的恶意广告活动,并将事件信息告知了PornHub以及Traffic Junky,因为这两个网站的广告网络都在此次恶意广告活动中被攻击者所利用。随后,这两家公司也撤下了相应的广告。【更新:该活动现在已蔓延至了雅虎的网站
实际上,在近期所发现的恶意广告活动中,攻击者一般都会将目标用户重定向到一个社会工程学网站(诈骗或伪造下载内容等等)上,这已经形成了一种发展趋势,而这个黑客组织的操作手法同样顺应了这一趋势。但是在此之前,此类活动中的攻击者一般都会直接将目标用户重定向到一个托管了漏洞利用工具的网站上。
研究人员表示,KovCoreG使用了ISP以及基于地理位置的过滤器来筛选他们所要攻击的目标用户。值得注意的是,他们在PornHub上的恶意广告活动主要针对的是美国、英国、加拿大和澳大利亚地区的用户。
除此之外,该活动还有一个非常奇怪的地方,即他们在目标主机中下载的文件:JavaScript和HTA文件。奇怪的地方就在于,如果目标用户的IP地址没有顺利通过ISP以及GEO过滤器的检测,那么这两种文件将不会在目标用户的主机中运行。研究人员猜测,这种二次检测的目的是为了限制安全研究专家对他们的活动进行分析。
就在两周之前,Malwarebytes的安全研究人员还在MSN.com上发现了类似的恶意广告活动,当时的攻击者使用了Taboola广告网络来托管他们的恶意广告。当用户点击了恶意广告之后,他们将会被重定向到一个技术支持诈骗网站上。
如果你还想了解更多关于KovCoreG以及Taboola恶意广告活动的详细内容,请参考下面这两篇报告:【KovCoreG】【Taboola

参考来源:FreeBuf

评分

参与人数 1骨头 +9 收起 理由
小小超 + 9 赞一个!

查看全部评分

+1
85°C
沙发哦 ^ ^ 马上
*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

Kali linux ( 蜀ICP备10027298号-4 ) Topics |


免责声明:
Kali linux中文网所发布的一切教程文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。

GMT+8, 2017-10-24 15:45 , Processed in 0.159909 second(s), 31 queries , Gzip On.

Powered by Discuz!

© 2009-2016 CNNS

快速回复 返回顶部 返回列表