新闻快讯
< >

黑客组织使用虚假浏览器和Flash更新消息传播恶意软件Kovter

近日,网络安全公司Proofpoint(PFPT)的研究人员发现一个代号为“KovCoreG”的黑客组织长期在使用虚假的浏览器或Flash更新提醒消息来诱骗受害者安装恶意软件Kovter。

黑客组织使用虚假浏览器和Flash更新消息传播恶意软件Kovter-E安全

借助恶意广告传播恶意软件

该组织在PornHub(一个色情影片分享网站)上通过恶意广告将受害者重定向到“紧急更新”的钓鱼网站页面。根据受害者使用的浏览器不同,受害者会收到不同内容的更新提醒消息。

例如,使用 Chrome浏览器和Firefox浏览器的受害者将收到要求下载浏览器更新的提醒消息,而使用IE浏览器和Edge浏览器的受害者收到的则是要求下载Flash更新的提醒消息。

当然,如果受害者点击了“更新按钮”是不可能得到正确的更新的。相反,得到的文件是安装恶意软件Kovter的JavaScript(Chrome,Firefox)或HTA(IE,Edge)文件。

功能多样性的恶意软件

Kovter是目前发现的最先进的恶意软件家族。它包含了复杂的功能,如文件不用落盘,拥有只创建一个注册表键值就可以感染系统的能力,这让很多反病毒产品很难探测到它。

另外,Kovter采用rootkit功能来进一步隐藏自身的存在,并会积极的识别和关闭安全解决方案。

Kovter首次出现是在2015年,一直被用作其他恶意软件家族的下载者,一个负责偷取个人信息的工具,一个用于获得系统访问权的后门。

然而在2016年,Kovter开始被用作广告欺诈恶意软件。这种恶意软件可以被用于劫持系统,并使用它去访问网站、点击广告,这是为了在广告竞价活动(被称为点击劫持)中创造更多的点击量。

英国、美国、加拿大、澳大利亚成主要受灾区

Proofpoint的研究人员在发现这个恶意广告活动后及时通知了Pornhub和Traffic Junky(一家美国广告商)。这两家公司也在接到通知后,选择了介入以及关闭了诸如此类的恶意广告。

研究人员还发现,KovCoreG组织使用了ISP和Geofilters滤镜(地理位置滤镜)来筛选出他

们想要攻击的目标。如果计算机的IP地址没有通过相同的ISP和Geofilters滤镜,则下载的文件(JavaScript或者HTA文件)将不会在计算机上执行。

目前,PornHub恶意广告系列主要针对美国、英国、加拿大和澳大利亚的用户。