Exploit套件继续用作恶意软件交付平台。2020年,我们已经观察了一些不同的恶意运动导致钻孔掉出来Spelevo.紫狐狸等等。

而且,在9月,我们推出了一个博客帖子通过成人网站在恶意中详细说明激增。自年开始以来,我们被称为'MALSMOKE'的那种广告系列之一。是什么让它脱颖而出的是它在顶级成人门户之后的事实,并且几个月持续不减。

从10月中旬开始,MALSMOKE背后的威胁演员似乎已经逐步淘汰了利用套件交付链,以支持社会工程方案。新的广告系列正在使用假的Java更新欺骗参观者对成人网站。

这种变化很大,因为它急剧增加了目标受众,不再将其限制在运行过时软件的Internet Explorer用户。

几个月的恶性恶化者

Malsmoke Campaign从最常见的有效载荷派生它的名字,它通过辐射利用套件丢弃,即吸烟者

虽然我们看到了一些恶意链,但其中大多数来自低质量的流量和阴暗的广告网络。MALSMOKE为高交通成年门户网站而来,希望能够产生最大的感染次数。例如,Malsmoke已经存在于Xhamster [。] Com,一个网站每月9740万次访问,on和关闭几个月。

图1:关于在流行的成人网站上继续恶意攻击的推文

尽管如此,Malsmoke脱落了我们的雷达,我们于10月18日录制了最后一项活动。(10月16日)的几天,我们的遥测注册了一个新的恶意活动,它使用令人兴奋的诱饵页面旨在成为电影的诱饵页面。

  • 成人网站:Bravoporn [。] com / v / pop.php
  • 广告网络:Tsyndicate [。] com
  • Bemob广告:d8z1u.bemobtrcks [。] com /
  • 诱饵成人网站:Pornguru [。]在线/B87F22462FDB2928564CED.

几周后,这个广告系列将一个新域添加了一个新的域,作为其重定向链的一部分,但我们可以看到它们是相关的(包括URL中的相同标识符标记)

  • 成人网站:xHamster [。] com
  • 广告网络:Tsyndicate [。] com
  • 重定向:LandingMonster [。]在线
  • 诱饵成人网站:PornIslife [。]在线/B87F22462FDB2928564CED.

该门户被用作让人们玩实际存在的成人视频的诱饵。相反,将要求用户下载一个恶意的假java更新。

图2:诱饵成人模板用假视频引诱用户

仔细看看使用的模板和网络指标显示,这种最新的恶意运动实际上属于先前使用过利用套件的同一MALSMOKE威胁演员。

图3:将模板和流量序列与Exploit套件和SoC之间进行比较。工程

我们注意到同一个成人电影页面模板,一个次要修复(页面标题中的拼写错误,可能是由于俄语键盘布局)。

此外,最新的域名PornIslife [。]在线注册了同一电子邮件地址mikami9722 @ hxqmail [。] com与先前相关的其他Web属性相关联马尔摩克门

图4:MALSMOKE演员使用的相同注册商电子邮件地址

MALSMOKE运营商在几个月内运行了成功的利用套件活动,但在10月决定将它们转移到新的社会工程方案中。然而,由于他们保留了高交通成人门户和交通恒星广告网络,恶意链保持相似。

新社会工程技巧

新方案在所有浏览器中工作,包括市场份额最大的浏览器,谷歌浏览器。这是它的工作原理:当点击播放成人视频剪辑时,一个新的浏览器窗口弹出看起来颗粒状视频(黑条是我们的):

图5:用作诱饵的成人视频剪辑

电影在后台播放几秒钟,直到显示叠加消息,告诉用户“未找到”java插件8.0“。

电影文件是28秒的MPEG-4剪辑,该剪辑已以像素化视图为目的呈现。它意味着让用户相信他们需要下载一块缺少的软件,即使这根本无关。

图6:视频剪辑由威胁演员定制

威胁演员可以以任何形式或形式设计此假插件更新。java的选择是一个奇数,但考虑到它通常与视频流相关联。但是,点击和下载所谓的更新的人可能不知道这一点,这真的很重要。

图7:假java更新对话框

这个假对话框让人想起缺少'hoflertext字体'在EITest流量重定向方案中使用的广告系列。EITEST也被称为使用exproit套件来分发恶意软件,并在某些时候切换到类似的社交工程技巧,以针对更多用户,尤其是运行Chrome浏览器的设备。

有效载荷分析

威胁演员基本上开发了自己的实用程序,以下载具有不容易检测到的优势的远程有效载荷。如果你回忆说,Malsmoke先前依靠烟雾装载机来分发其有效载荷,而现在它有一个非常自己的装载机,谢谢一个新的expaive MSI安装程序。

图8:有效载荷安装流程,导致zloader

假java更新(javaplug-in.msi)是一个数字签名的Microsoft安装程序,包含许多库和可执行文件,其中大部分都是合法的。

图9:MSI安装程序的内容

在安装中,LiC_Service.exe加载Helperdll.dll,它是负责部署最终有效载荷的最重要模块。

图10:代码调用Helperrun DLL

Helperdll.dll使用MSI存档中存在的卷曲库,从MovieHunters [。]网站下载加密的有效负载。

图11:对实际有效载荷的后端服务器请求

这是zloader恶意软件,然后将其写入磁盘并ran为:

%appdata%\ roaming \ microsoft_shared.tmp

zloader将自身注入新的MSIexec.exe进程,以使用域生成算法(DGA)与其命令和控制服务器联系。一旦标识响应的域,它就开始下载不同的模块,并可选择更新到zloader本身。

图12:发布后感染交通,显示zloader门

在图12的左侧,我们可以看到被zloader植入物生成的流量注入msiexec.exe。在右侧,我们可以看到这些植入物从同一过程中倾倒。您可以在本文中找到有关Zloader及其植入物的更多信息“沉默之夜”zloader / zbot

不断发展的网络威胁

MALSMOKE是在高调网站上引人注目的恶意和利用套件最明显的经销商之一。

虽然我们认为威胁演员已经沉默,但他们只是改变了策略,以进一步发展他们的运营。而不是针对仍然运行Internet Explorer的成人网站的一小部分访问者,而是他们现在已经扩展到所有浏览器。

在没有高价值软件漏洞和漏洞利用的情况下,社会工程是一种很好的选择,因为它具有成本效益和可靠。就Web威胁而言,这些计划在这里留在可预见的未来。

必威平台APP浏览器卫队已经受到这种恶意运动的保护的用户。此外,我们通过我们检测MSI安装程序和Zloader有效载荷必威平台APPWindows的Malwarebytes.

图13:Malware必威平台APPbytes浏览器保护阻止重定向器

妥协指标

重定向器:

LandingMonster [。]在线

诱饵成人门户:

Pornislife [。]在线

MSI安装程序:

87BFBBC345B4F3A59CF90F46B47FC063ADCD415614AFE4AF7AFC950A0DFCACC2.

第一个C2:

电影官[。]网站

zloader:

4A30275F14F80C6E11D5A253D7D004EDA98651010E0AA47F744CF4105D1676AB

zloader C2S:

iqowijsdakm [。] ru
wiewjdmkfjn [。] ru
dksaoidiakjd [。] su
iweuiqjdakjd [。] su
Yuidskadjna [。] su
olksmadnbdj [。] su
odsakmdfnbs [。] com
odsakjmdnhsaj [。] com
odjdnhsaj [。] com
odoishsaj [。] com