加入收藏 | 设为首页 | 会员中心 | 我要投稿 河北网 (https://www.hebeiwang.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 建站 > 正文

看仔细了!虚假浏览器更新推送各种恶意软件

发布时间:2019-03-05 21:38:49 所属栏目:建站 来源:M6
导读:媒介 最近研究职员发明白一个恶意勾当中的注入剧本,其可以将卖弄赏识器更新推送给网站会见者: 黑客网站上的卖弄Firefox更新提示 当用户会见这些黑客网站时,会弹出一个动静框,声称是赏识器更新中心(这些表现的赏识器是Firefox,但也有Chrome、InternetE
副问题[/!--empirenews.page--]

 媒介

最近研究职员发明白一个恶意勾当中的注入剧本,其可以将卖弄赏识器更新推送给网站会见者:

看细心了!卖弄赏识器更新推送各类恶意软件

黑客网站上的卖弄Firefox更新提示

当用户会见这些黑客网站时,会弹出一个动静框,声称是赏识器“更新中心”(这些表现的赏识器是Firefox,,但也有Chrome、InternetExplorer和Edge赏识器的此类动静)。

详细提示内容是:”因为赏识器版本过期,呈现了一个严峻的错误。因此请尽快更新您的赏识器。“为了使这一声明明得越发真实,恶意软件在靠山表现一些乱码文本。

“安详中心”提议下载并安装更新,以停止“丢失小我私人和存储数据,以及机要信息泄漏和赏识器错误 ”。下载链接指向某个受损第三方站点上的exe和zip文件。很多防病毒软件凡是可以很好地检测到有用负载。

剧本注入

研究职员已经确定了最近屡次这类恶意进攻勾当。黑客可以选择向受损网页注入外部剧本链接,或是注入整个剧本代码。

外部Update.js剧本

以下是此恶意勾当中行使的一些外部剧本链接示例:

  1. hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js  
  2. hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js  
  3. hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js 

这些update.js文件中包括一个夹杂剧本,用于建设卖弄的赏识器更新包围窗口,个中还附有卖弄更新文件的下载链接,譬喻:

  1. hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip 

VirusTotal上有14个防病毒软件将此文件标识为特洛伊木马,此网页中还可以发明更多相同的文件。

看细心了!卖弄赏识器更新推送各类恶意软件

本年1月在kvintek[.]com.ua上发明的另一些可疑URL下载链接为:

  1. hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe 

内联剧本

在某些时辰,黑客不会向受损网页注入外部剧本链接,而是注入完备的恶意JavaScript代码。

看细心了!卖弄赏识器更新推送各类恶意软件

在DLE网站上的HTML代码底部注入卖弄更新代码

注入的代码很是复杂(90+Kb)。为了潜匿它,黑客增进了70多条空行,寄但愿于网站打点员在看到空屏幕后遏制赏识代码。在这一点上,研究职员发明有多达117个网站存在此类恶意软件。

随后,进攻者切换到上述的注入外部链接,这样做也许是为了使注入的代码不那么突出。可是,外部链接有一个明明的弱点——很轻易被列入黑名单——因此他们切换为注入完备的剧本。新剧本显然更小——不高出30Kb,而且不包括纯文本的下载链接。

看细心了!卖弄赏识器更新推送各类恶意软件

最新版本的注入剧本

最新版本的恶意软件在受传染的第三方网站上行使以下有用负载链接:

  1. hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip 
  2.  
  3. hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip 
  4.  
  5. hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip 

问题4卖弄JPG文件埋伏恶意软件

zip文件很是小,约莫只有3Kb巨细,对付真正的Windows恶意软件来说远远不足。通详尽心说明,发明它只包括一个.js文件,其名称如下:

update_2019_02.browser-components .js

该文件名在components后包括100个空格字符,看起来像是为了潜匿文件扩展名。因此JavaScript文件被夹杂了,它具有以先蚊?要害字:

看细心了!卖弄赏识器更新推送各类恶意软件

很轻易看到代码行使Windows剧本主机成果下载外部文件,执行它们,然后删除。

在这种环境下,剧本会实行从受传染的第三方站点下载browser.jpg文件。这里很轻易被.jpg扩展名所疑惑,现实上它是行使cmd.exe /c 呼吁启动的Windows .exe文件。

此shell剧本的最新版本行使以下下载链接:

  1. hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg 
  2.  
  3. hxxp://farsinvestco[.]ir/wp-content/themes/consulto-thecreo/languages/browser.jpg 

(编辑:河北网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
    站长推荐
    热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2008-2022 https://www.hebeiwang.cn/ All Rights Reserved. 河北网