虽然攻击工具包的活动已经相当安静了一段时间,但我们最近发现一个威胁参与者正在创建一个复制者-伪造的-必威平台APPMalwarebytes网站被用作通往辐射尘,它经销浣熊扒手。

少数恶意宣传运动由于大多数威胁行为体已经转移到其他传播媒介,因此,在二级和三级成人网站上经常可以找到剩余的病毒,从而导致放射性尘埃或钻机攻击工具。然而,我们相信这场虚假的Malwarebytes恶意攻击活动可能是我们继续与广告网络合作跟踪、报告和消除此类攻击的回报。必威平台APP

在这个博客中,我们详细分析了这次攻击和可能的动机。

被盗模板包括恶意代码

几天前,我们收到了一个滥用我们品牌的仿冒域名的警告。malwarebytes free[.]com域名于3月29日通过域名注册商REG.RU LLC注册,目前位于俄罗斯173.192.13必威平台APP9[.]27。

通过检查源代码,我们可以确认有人从我们的原始站点窃取了内容,但添加了一些额外的内容。

JavaScript代码段检查您正在运行的哪种浏览器,如果它恰好是Internet Explorer,则将您重定向到属于Fallout Exploit Kit的恶意URL。

CopyCAT运动的感染链

这个假冒的Malwa必威平台APPrebytes网站通过PopCash广告网络被积极用作恶意广告宣传活动的门户,我们联系了PopCash广告网络举报恶意广告主。

Fallout EK是在野外仍然活跃的较新(或可能是最后一个)的攻击工具包之一。在这个序列中,它用于将浣熊盗猎者发射到受害者机器上。

诱饵页背后的动机

这场运动背后的威胁因素可能与我们几个月来一直在追踪的其他人有关。他们之前曾使用过类似的仿冒模板,充当闸门。例如,这个假的Cloudflare域(PopCashExtange[.]xyz)也使用PopCash名称:

毫无疑问,与提供商和广告网络合作的安全公司正在阻碍网络犯罪分子的努力和金钱支出。我们不确定是否应该把抄袭当作一种恭维。

如果你是现有的必威平台APPMalwarebytes用户,由于我们的反利用保护,您已经安全地避免了这次恶意攻击活动。

长期以来,骗子和其他犯罪分子一直在使用模仿战术来欺骗线上和线下的受害者。和往常一样,最好仔细检查您正在访问的网站的身份,如果有疑问,可以通过输入URL或通过书签页面/选项卡直接访问。

折衷指标

假Malw必威平台APParebytes站点

必威平台APPMalwarebytes [。] com
31.31.198[.]161

辐射尘

134.209.86 [。] 129

浣熊扒手

78A90F2EFA2FDD54E3E1ED54EE9A18F1B91D4AD9FAEDAD50EC3A8BB7AA5E330
34.89.159[.]33