Exploit套件继续用作恶意软件交付平台。2020年,我们已经观察了一些不同的恶意运动导致钻孔那掉出来那Spelevo.和紫狐狸等等。
而且,在9月,我们推出了一个博客帖子通过成人网站在恶意中详细说明激增。自年开始以来,我们被称为'MALSMOKE'的那种广告系列之一。是什么让它脱颖而出的是它在顶级成人门户之后的事实,并且几个月持续不减。
从10月中旬开始,MALSMOKE背后的威胁演员似乎已经逐步淘汰了利用套件交付链,以支持社会工程方案。新的广告系列正在使用假的Java更新欺骗参观者对成人网站。
这种变化很大,因为它急剧增加了目标受众,不再将其限制在运行过时软件的Internet Explorer用户。
几个月的恶性恶化者
Malsmoke Campaign从最常见的有效载荷派生它的名字,它通过辐射利用套件丢弃,即吸烟者。
虽然我们看到了一些恶意链,但其中大多数来自低质量的流量和阴暗的广告网络。MALSMOKE为高交通成年门户网站而来,希望能够产生最大的感染次数。例如,Malsmoke已经存在于Xhamster [。] Com,一个网站每月9740万次访问,on和关闭几个月。
尽管如此,Malsmoke脱落了我们的雷达,我们于10月18日录制了最后一项活动。(10月16日)的几天,我们的遥测注册了一个新的恶意活动,它使用令人兴奋的诱饵页面旨在成为电影的诱饵页面。
- 成人网站:Bravoporn [。] com / v / pop.php
- 广告网络:Tsyndicate [。] com
- Bemob广告:d8z1u.bemobtrcks [。] com /
- 诱饵成人网站:Pornguru [。]在线/B87F22462FDB2928564CED.
几周后,这个广告系列将一个新域添加了一个新的域,作为其重定向链的一部分,但我们可以看到它们是相关的(包括URL中的相同标识符标记)
- 成人网站:xHamster [。] com
- 广告网络:Tsyndicate [。] com
- 重定向:LandingMonster [。]在线
- 诱饵成人网站:PornIslife [。]在线/B87F22462FDB2928564CED.
该门户被用作让人们玩实际存在的成人视频的诱饵。相反,将要求用户下载一个恶意的假java更新。
仔细看看使用的模板和网络指标显示,这种最新的恶意运动实际上属于先前使用过利用套件的同一MALSMOKE威胁演员。
我们注意到同一个成人电影页面模板,一个次要修复(页面标题中的拼写错误,可能是由于俄语键盘布局)。
此外,最新的域名PornIslife [。]在线注册了同一电子邮件地址mikami9722 @ hxqmail [。] com与先前相关的其他Web属性相关联马尔摩克门。
MALSMOKE运营商在几个月内运行了成功的利用套件活动,但在10月决定将它们转移到新的社会工程方案中。然而,由于他们保留了高交通成人门户和交通恒星广告网络,恶意链保持相似。
新社会工程技巧
新方案在所有浏览器中工作,包括市场份额最大的浏览器,谷歌浏览器。这是它的工作原理:当点击播放成人视频剪辑时,一个新的浏览器窗口弹出看起来颗粒状视频(黑条是我们的):
电影在后台播放几秒钟,直到显示叠加消息,告诉用户“未找到”java插件8.0“。
电影文件是28秒的MPEG-4剪辑,该剪辑已以像素化视图为目的呈现。它意味着让用户相信他们需要下载一块缺少的软件,即使这根本无关。
威胁演员可以以任何形式或形式设计此假插件更新。java的选择是一个奇数,但考虑到它通常与视频流相关联。但是,点击和下载所谓的更新的人可能不知道这一点,这真的很重要。
这个假对话框让人想起缺少'hoflertext字体'在EITest流量重定向方案中使用的广告系列。EITEST也被称为使用exproit套件来分发恶意软件,并在某些时候切换到类似的社交工程技巧,以针对更多用户,尤其是运行Chrome浏览器的设备。
有效载荷分析
威胁演员基本上开发了自己的实用程序,以下载具有不容易检测到的优势的远程有效载荷。如果你回忆说,Malsmoke先前依靠烟雾装载机来分发其有效载荷,而现在它有一个非常自己的装载机,谢谢一个新的expaive MSI安装程序。
假java更新(javaplug-in.msi)是一个数字签名的Microsoft安装程序,包含许多库和可执行文件,其中大部分都是合法的。
在安装中,LiC_Service.exe加载Helperdll.dll,它是负责部署最终有效载荷的最重要模块。
Helperdll.dll使用MSI存档中存在的卷曲库,从MovieHunters [。]网站下载加密的有效负载。
这是zloader恶意软件,然后将其写入磁盘并ran为:
%appdata%\ roaming \ microsoft_shared.tmp
zloader将自身注入新的MSIexec.exe进程,以使用域生成算法(DGA)与其命令和控制服务器联系。一旦标识响应的域,它就开始下载不同的模块,并可选择更新到zloader本身。
在图12的左侧,我们可以看到被zloader植入物生成的流量注入msiexec.exe。在右侧,我们可以看到这些植入物从同一过程中倾倒。您可以在本文中找到有关Zloader及其植入物的更多信息“沉默之夜”zloader / zbot。
不断发展的网络威胁
MALSMOKE是在高调网站上引人注目的恶意和利用套件最明显的经销商之一。
虽然我们认为威胁演员已经沉默,但他们只是改变了策略,以进一步发展他们的运营。而不是针对仍然运行Internet Explorer的成人网站的一小部分访问者,而是他们现在已经扩展到所有浏览器。
在没有高价值软件漏洞和漏洞利用的情况下,社会工程是一种很好的选择,因为它具有成本效益和可靠。就Web威胁而言,这些计划在这里留在可预见的未来。
必威平台APP浏览器卫队已经受到这种恶意运动的保护的用户。此外,我们通过我们检测MSI安装程序和Zloader有效载荷必威平台APPWindows的Malwarebytes.。
妥协指标
重定向器:
LandingMonster [。]在线
诱饵成人门户:
Pornislife [。]在线
MSI安装程序:
87BFBBC345B4F3A59CF90F46B47FC063ADCD415614AFE4AF7AFC950A0DFCACC2.
第一个C2:
电影官[。]网站
zloader:
4A30275F14F80C6E11D5A253D7D004EDA98651010E0AA47F744CF4105D1676AB
zloader C2S:
iqowijsdakm [。] ru
wiewjdmkfjn [。] ru
dksaoidiakjd [。] su
iweuiqjdakjd [。] su
Yuidskadjna [。] su
olksmadnbdj [。] su
odsakmdfnbs [。] com
odsakjmdnhsaj [。] com
odjdnhsaj [。] com
odoishsaj [。] com
评论