小心:虚假浏览器更新会传播 BitRAT 和 Lumma Stealer 恶意软件
时间:2024-6-3 12:06 作者:之参博客 分类: 网络相关
虚假的网络浏览器更新被用于传播远程访问木马 (RAT) 和信息窃取恶意软件,例如BitRAT和Lumma Stealer(又名 LummaC2)。
网络安全公司 eSentire 在一份新报告中表示: “虚假浏览器更新是导致大量恶意软件感染的元凶,包括著名的 SocGholish 恶意软件。2024年 4 月,我们观察到FakeBat通过类似的虚假更新机制进行传播。”
当潜在目标访问一个带有陷阱的网站时,攻击链就开始了,该网站包含旨在将用户重定向到虚假浏览器更新页面(“chatgpt-app[.]cloud”)的 JavaScript 代码。
重定向的网页嵌入了指向 ZIP 存档文件(“Update.zip”)的下载链接,该文件托管在 Discord 上并自动下载到受害者的设备。
值得指出的是,威胁行为者经常使用 Discord 作为攻击媒介, Bitdefender最近的分析发现,在过去六个月中,有超过 50,000 个危险链接传播恶意软件、网络钓鱼活动和垃圾邮件。
ZIP 存档文件中存在另一个 JavaScript 文件(“Update.js”),它会触发 PowerShell 脚本的执行,该脚本负责从远程服务器以 PNG 图像文件的形式检索其他有效负载,包括 BitRAT 和 Lumma Stealer。
以这种方式还检索了用于建立持久性的 PowerShell 脚本和主要用于启动最后阶段恶意软件的基于 .NET 的加载器。eSentire 推测,该加载器很可能被宣传为“恶意软件传送服务”,因为同一个加载器用于部署 BitRAT 和 Lumma Stealer。
BitRAT 是一种功能丰富的 RAT,允许攻击者收集数据、挖掘加密货币、下载更多二进制文件以及远程控制受感染的主机。Lumma Stealer 是一种商品窃取恶意软件,自 2022 年 8 月起每月售价 1750 至 7,000 元,能够从网络浏览器、加密钱包和其他敏感细节中捕获信息。
该公司表示:“伪造的浏览器更新诱饵已成为攻击者入侵设备或网络的常用手段”,并补充说,“这显示了运营商利用可信名称来最大限度地扩大覆盖范围和影响力的能力。”
虽然此类攻击通常利用驱动下载和恶意广告技术,但 ReliaQuest 在上周发布的一份报告中表示,它发现了ClearFake 活动的新变种,该变种以浏览器更新为借口诱骗用户复制、粘贴和手动执行恶意 PowerShell 代码。
具体来说,该恶意网站声称“显示此网页时出现错误”,并指示网站访问者按照一系列步骤安装根证书来解决该问题,其中包括复制混淆的 PowerShell 代码并在 PowerShell 终端中运行它。
该公司表示:“执行后,PowerShell 代码会执行多项功能,包括清除 DNS 缓存、显示消息框、下载更多 PowerShell 代码以及安装‘LummaC2’恶意软件。 ”
根据网络安全公司分享的信息,Lumma Stealer 与 RedLine 和 Raccoon 一起成为 2023 年最流行的信息窃取者之一。
“从 2023 年第三季度到第四季度,LummaC2 获取的待售日志数量增加了 110%”,报告指出。“LummaC2 在攻击者中越来越受欢迎,可能是因为它的成功率很高,这指的是它能够成功地渗透系统并在不被发现的情况下窃取敏感数据。”
与此同时,AhnLab 安全情报中心 (ASEC) 披露了一项新活动的细节,该活动使用 webhards(网络硬盘的缩写)作为渠道,分发成人游戏和破解版 Microsoft Office 的恶意安装程序,并最终部署各种恶意软件,如 Orcus RAT、XMRig miner、3proxy和 XWorm。
类似的攻击链涉及提供盗版软件的网站,导致了PrivateLoader和TaskLoader等恶意软件加载器的部署,它们都作为按安装付费 (PPI) 服务提供给其他网络犯罪分子,以投放他们自己的负载。
此外,Silent Push 还发现了CryptoChameleon “几乎独家使用” DNSPod[.]com 域名服务器来支持其钓鱼工具包架构的新情况。DNSPod是中国腾讯公司的一部分,曾为恶意防弹托管运营商提供服务。
该公司表示:“CryptoChameleon 使用 DNSPod 名称服务器来采用快速通量逃避技术,使威胁行为者能够快速循环浏览与单个域名相关的大量 IP 。 ”
“Fast flux 允许 CryptoChameleon 基础设施逃避传统的对策,并显著降低传统时间点 IOC 的运营价值。”使用至少七个主要社交媒体账户和一个拥有超过 250 个账户的 CIB 网络。