51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

看仔细了!虚假浏览器更新会推送各种恶意软件

作者:M6
安全 应用安全
研究人员已经确定了最近几次这类恶意攻击活动。黑客可以选择向受损网页注入外部脚本链接,或是注入整个脚本代码。

前言

最近研究人员发现了一个恶意活动中的注入脚本,其可以将虚假浏览器更新推送给网站访问者:

黑客网站上的虚假Firefox更新提醒

当用户访问这些黑客网站时,会弹出一个消息框,声称是浏览器“更新中心”(这些显示的浏览器是Firefox,但也有Chrome、InternetExplorer和Edge浏览器的此类消息)。

具体提醒内容是:”由于浏览器版本过时,出现了一个严重的错误。因此请尽快更新您的浏览器。“为了使这一声明显得更加真实,恶意软件在后台显示一些乱码文本。

“安全中心”建议下载并安装更新,以避免“丢失个人和存储数据,以及机密信息泄露和浏览器错误 ”。下载链接指向某个受损第三方站点上的exe和zip文件。许多防病毒软件通常可以很好地检测到有效负载。

脚本注入

研究人员已经确定了最近几次这类恶意活动。黑客可以选择向受损网页注入外部脚本链接,或是注入整个脚本代码。

外部Update.js脚本

以下是此恶意活动中使用的一些外部脚本链接示例:

  1. hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js  
  2. hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js  
  3. hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js 

这些update.js文件中包含一个混淆脚本,用于创建虚假的浏览器更新覆盖窗口,其中还附有虚假更新文件的下载链接,例如:

  1. hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip 

VirusTotal上有14个防病毒软件将此文件标识为特洛伊木马,此网页中还可以发现更多类似的文件。

今年1月在kvintek[.]com.ua上发现的另一些可疑URL下载链接为:

  1. hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe 

内联脚本

在某些时候,黑客不会向受损网页注入外部脚本链接,而是注入完整的恶意JavaScript代码。

在DLE网站上的HTML代码底部注入虚假更新代码

注入的代码非常庞大(90+Kb)。为了隐藏它,黑客增加了70多条空行,寄希望于网站管理员在看到空屏幕后停止浏览代码。在这一点上,研究人员发现有多达117个网站存在此类恶意软件。

随后,攻击者切换到上述的注入外部链接,这样做可能是为了使注入的代码不那么突出。但是,外部链接有一个明显的缺点——很容易被列入黑名单——因此他们切换为注入完整的脚本。新脚本显然更小——不超过30Kb,并且不包含纯文本的下载链接。

新版本的注入脚本

新版本的恶意软件在受感染的第三方网站上使用以下有效负载链接:

  1. hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip 
  2.  
  3. hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip 
  4.  
  5. hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip 

标题4虚假JPG文件暗藏恶意软件

zip文件非常小,大约只有3Kb大小,对于真正的Windows恶意软件来说远远不够。通过仔细分析,发现它只包含一个.js文件,其名称如下:

update_2019_02.browser-components .js

该文件名在components后包含100个空格字符,看起来像是为了隐藏文件扩展名。因此JavaScript文件被混淆了,它具有以下加密关键字:

很容易看到代码使用Windows脚本主机功能下载外部文件,执行它们,然后删除。

在这种情况下,脚本会尝试从受感染的第三方站点下载browser.jpg文件。这里很容易被.jpg扩展名所迷惑,实际上它是使用cmd.exe /c 命令启动的Windows .exe文件。

此shell脚本的新版本使用以下下载链接:

  1. hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg 
  2.  
  3. hxxp://farsinvestco[.]ir/wp-content/themes/consulto-thecreo/languages/browser.jpg 

VirusTotal扫描显示虚假.jpg文件包含勒索软件:

Browser.jpg被检测到勒索软件

结论

此攻击活动显示了黑客们是如何在攻击的各个阶段利用受感染的网站——将脚本注入合法网页,以及托管恶意二进制下载文件。

虽然外部扫描仪可以检测到第一种类型的感染,但是如果不访问服务器,则很难检测到第二种类型(恶意下载)。在这种情况下,各种防病毒软件的黑名单可能会有所帮助——客户端防病毒软件会查看恶意下载源自何处。

 

责任编辑:武晓燕 来源: MottoIN
虚假浏览器软件
相关推荐
您确定自己的浏览器是最新的吗?揭露虚假浏览器更新现状
本报告中详细描述的活动对于安全团队来说很难检测和预防,最好的缓解办法是纵深防御。

2023-10-26 08:59:42

傲游浏览器厚积薄发 全球同步推送更新
2012年2月16日,在今年的傲游大事记上注定会留下浓重的一笔,这一天,3.3.4.4000版面向全球120多个国家的亿计用户同步推送。本次全面更新较上次已七月有余,而这次更新也标志着傲游浏览器在效率、技术、稳定、体验等多个方面达到前所未有的高度,将带给用户精彩绝伦的互联网体验。

2012-02-22 15:53:06

傲游浏览器
ChromeLoader恶意软件激增,恐将威胁全球浏览器
ChromeLoader是一种浏览器劫持程序,它可以修改受害者的网络浏览器设置,以宣传不需要的软件、虚假广告,甚至会在搜索页面展示成人游戏和约会网站。

2022-05-26 14:53:14

恶意软件ChromeLoad浏览器
Chrome浏览器中新增反恶意软件广告功能
谷歌宣布在Chrome浏览器中新增三个安全功能,阻止网站在未经用户或网站所有人同意的情况下悄悄将用户重定向至新的网址。

2017-11-16 15:54:01

黑客通过推送虚假恶意软件从同行手中窃取信息
虽然针对普通用户的黑客更加常见,但黑客试图欺骗并攻击其他同行的行为也并不少见。一些缺乏经验或者粗心大意的黑客往往不能很快识别黑客论坛上的欺骗性工具,最终导致上当受骗。

2022-03-24 15:29:12

黑客网络攻击勒索软件
微软 Windows Defender 疑似将谷歌 Chrome 浏览器更新误标记为恶意软件
IT之家2月4日消息据外媒Neowin报道,MicrosoftDefenderforEndpoint昨日将谷歌Chrome浏览器更新标记为了恶意软件,并警告用户和管理员,一些推特用户发现了该标记并询问是否为误报。

2021-02-04 13:13:33

微软Windows Def Chrome浏览器
新蠕虫病毒引诱浏览器升级 致恶意软件泛滥
据国外媒体报道,日前一款名为“Worm.Ropian.E”的蠕虫程序被发现,它可以接管用户的DHCP和DNS服务器,向有更多恶意软件存在的站点发送请求。

2011-09-26 11:12:48

微软推送Windows 10新更新:移除经典版Edge浏览器
微软面向所有支持的Windows10系统发布了累积更新,其中还包括正在Beta频道测试的Windows1021H1版本。本次累积更新最值得注意的是从系统中删除了经典版Edge浏览器,自今天开始将不再获得支持。

2021-03-10 09:59:16

Windows10操作系统浏览器
eFast:山寨谷歌浏览器恶意来袭
近日,安全专家发现一款称为eFast浏览器的新恶意软件。该恶意软件从表面上看起来很像谷歌浏览器,但它会执行删除Chrome浏览器的操作,然后自我安装替代Chrome浏览器,并将自身设置为默认浏览器。之后,当你打开“浏览器”时,该恶意软件会将植入的广告推送给你。

2015-10-22 12:36:36

恶意软件eFast浏览器安全
别用传统眼光浏览器
浏览器,互联网亘古不变的话题,一直以来也都是巨头角力的热火战场。随着信息时代的发展,开放的互联网市场里也随即涌现了无数个浏览器产品。不知从何时起,浏览器市场掀起一场又一场的战争,狼烟四起硝烟弥漫。可是,你真的了解这这场战争么?你真的了解每一款浏览器的特性么?在你看来什么是浏览器?什么是云?什么是双核?什么是极速?在这龙争虎斗的市...

2013-02-21 16:03:52

浏览器
透过浏览器HTTP缓存
web端的缓存机制其实有多种,我在这里只是学习和整理了以浏览器为载体的HTTP缓存机制,看看它是如何工作的。

2021-08-02 13:05:49

浏览器HTTP前端
微软修复严重的浏览器漏洞和Stuxnet恶意软件漏洞
微软在本周二发布了17个安全公告,修复了被Stuxnet恶意软件利用的零日漏洞,阻止攻击者以IE中的几个严重漏洞为攻击目标。

2010-12-16 10:56:23

Redline Stealer恶意软件:窃取浏览器中存储的用户凭证
在调查某公司最近发生的内部数据泄露事件时,AhnLabASEC分析小组确认用于访问公司网络的虚拟专用网络账户是从某位在家工作的员工的电脑上泄露的。

2021-12-31 10:49:02

恶意软件黑客网络攻击
Opera浏览器Linux版本更新
浏览器厂商Opera已经为Linux操作系统推出了新版本的Opera浏览器。现在Linux用户马上就能下载这款浏览器。在此之前,最新的Opera浏览器Linux版本还是一年前推出的Opera12.16,其中没有内建其他平台上的诸多新功能。

2014-06-24 15:43:56

Opera浏览器
Ubuntu Firefox浏览器更新
UbuntuFirefox安装完成后会自动安装一个UbuntuFirefox浏览器,遗憾的是这个UbuntuFirefox版本通常较低,例如Ubuntu9.04会安装Firefox3.0。

2009-12-31 17:02:40

Ubuntu Fire
浏览器大战未来软件发展——毁灭还是重生?
软件领域也有一段不长也不短的历史。说她不长,是因为只有了了的几十年,说他不短,是因为在这短短的几十年,却似乎经理了漫长的几个世纪一样,曲折离奇、英雄辈出。所以有很多很好的看点供我们研究,供我们学习。也能够为我们提供分析未来的依据。

2011-11-16 16:31:34

软件开发
从猎豹浏览器的战争
编者按:现代人的生活已经与互联网密不可分,作为互联网窗口的浏览器也成为互联网中不可分割的一部分。说浏览器是互联网的窗口已经不再准确,现代浏览器已经成为互联网平台,一个充满纷争与战乱的平台。前段时间,金山公司推出了猎豹浏览器,在业内引起了网友热论,小编联系到了猎豹团队的技术人员为大家解读当下浏览器市场的纷争。

2012-07-04 17:00:06

猎豹浏览浏览器
Windows 10推送更新升级Edge浏览器:用户发现电脑速度因此变慢
据外媒报道,不完全汇总发现,在打上Windows10补丁KB4559309,KB4541301或者KB4541302(视Windows版本不同)后,部分用户报告了启动速度以及日常运行程序变慢的情况。

2020-06-29 12:42:41

Windows 10Edge浏览器
Necro恶意软件更新
Necro恶意软件更新,添加新的漏洞利用和加密货币挖矿功能。

2021-06-10 10:43:13

Necro恶意软件漏洞
Chrome浏览器 For Android版发布更新
ChromebetaforAndroid今天迎来一次升级,最新版本号已经升至0.18.4531.3636。官方下载地址:https:play.google.comstoreappsdetailsidcom.android.chrome

2012-06-07 13:47:34

Chrome浏览器Android
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服