新闻快讯
< >

黑客正在收集你的设备数据!警惕虚假的Flash、Chrome 和 FireFox更新

E安全4月13日讯 FireEye 发布报告称追踪到一起特别的网络攻击活动,该活动过去几个月一直利用被感染的网站传播虚假的软件更新,以便在受害者设备上安装 NetSupport Manager 远程访问工具(RAT),获取设备信息。

利用Adobe Flash等虚假的软件更新

NetSupport Manager 是一款商用 RAT,管理员可通过这款 RAT 远程访问客户端计算机。但是,研究人员发现恶意攻击者却在滥用这款 RAT,将其悄悄安装在受害者的电脑上,从而未经授权访问设备。

恶意攻击者滥用被感染的网站传播虚假的 Adobe Flash、Chrome 和 FireFox,一旦用户接受更新,便会下载恶意 JavaScript 文件。

黑客利用虚假软件更新滥用NetSupport RAT收集设备信息-E安全

虚假的软件更新消息弹出窗口

黑客怎样获取设备信息?

FireEye 指出,JavaScript 恶意软件会收集系统的基本信息并发送至服务器,再从服务器接收其它命令,之后执行 JavaScript 命令以传递最终的 Payload。这个名为 Update.js 的 JavaScript 在 wscript.exe 的帮助下从 %AppData% 执行。

这款恶意软件的开发人员对最初的 JavaScript 进行了多层模糊处理,并设法使得针对第二个 JavaScript 文件的分析更加困难。通过使用调用和被调用函数代码来获得解密密钥,攻击者可以确保,一旦分析师添加或删除内容,脚本不会检索密钥导致异常而终止。

初始执行后,JavaScript 便会开启与命令与控制(C&C)服务器的连接,并以编码格式发送名为 tid 的值和系统的当前日期。之后,这个脚本会解码服务器响应,并将其作为一个名为 step2 的函数执行。这个函数负责收集各种系统信息,并对其编码发送至服务器,收集的信息包括:

设备体系架构、计算机名称、用户名、处理器、操作系统、域、制造商、型号、BIOS 版本、反间谍软件产品、反病毒产品、MAC 地址、键盘、定点设备、显示控制器配置和进程列表。

此后,服务器会用编码内容作出响应:名为 step3 函数和下载并执行最终 payload 的 Update.js。

这款软件利用 PowerShell 从服务器下载多个文件,包括 7zip 独立可执行文件、包含这款 RAT 并设置了密码保护的归档文件以及批处理脚本,以此在目标系统上安装 NetSupport 客户端。

批处理脚本还可禁用 Windows 错误报告和应用程序兼容性,将远程控制客户端可执行文件添加到防火墙的许可程序列表中,添加运行注册表或将快捷文件下载到启动文件夹以维持持久性,隐藏文件,删除 Artefact,并执行该 RAT。研究人员还发现,恶意软件会定期更新这个脚本。

黑客利用虚假软件更新滥用NetSupport RAT收集设备信息-E安全

主要瞄准美国、德国和荷兰的设备

在 NetSupport Manager 的帮助下,攻击者可远程访问被感染的系统,传输文件,启动应用程序,获取系统的定位,并远程检索目录和系统信息。最终的 JavaScript 还下载了包含 IP 地址列表的 txt 文件,这些地址可能是被感染的系统。大部分这些 IP 地址属于美国、德国和荷兰。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。