小心！黑客組織KovCoreG正在利用虛假的瀏覽器和Flash更新來傳播惡意軟體

近期，安全研究人員發現了一個名叫KovCoreG的黑客組織正在利用偽造的瀏覽器及Flash更新來欺騙用戶安裝Kovter惡意軟體。

研究人員表示，攻擊者使用了PornHub上的惡意廣告來將用戶重定向至一個詐騙網站，而這個網站回彈出「緊急更新」之類的窗口來欺騙用戶安裝「瀏覽器或Flash更新」，當然了，這種所謂的「更新程序」其實就是攻擊者在這個詐騙網站上託管的惡意軟體。

比如說，當用戶使用Chrome或Firefox訪問這個網頁時，網站會詢問用戶是否需要下載瀏覽器更新補丁，如果用戶使用的是IE或Edge瀏覽器的話，該網站則會詢問用戶是否需要下載Flash更新。

實際上，用戶此時所下載下來的文件將會是一個JavaScript腳本（Chrome，Firefox）或HTA文件（IE，Edge），而這種惡意文件將會在目標用戶的計算機中安裝Kovter。Kovter惡意軟體是一種多用途的惡意軟體下載器，它可以在目標主機中下載廣告欺詐軟體、勒索軟體和信息竊取軟體等多種類型的惡意軟體。

受影響地區主要為英國、美國、加拿大和澳大利亞

Proofpoint的研究人員通過分析後發現了KovCoreG的惡意廣告活動，並將事件信息告知了PornHub以及Traffic Junky，因為這兩個網站的廣告網路都在此次惡意廣告活動中被攻擊者所利用。隨後，這兩家公司也撤下了相應的廣告。【更新：該活動現在已蔓延至了雅虎的網站】

實際上，在近期所發現的惡意廣告活動中，攻擊者一般都會將目標用戶重定向到一個社會工程學網站（詐騙或偽造下載內容等等）上，這已經形成了一種發展趨勢，而這個黑客組織的操作手法同樣順應了這一趨勢。但是在此之前，此類活動中的攻擊者一般都會直接將目標用戶重定向到一個託管了漏洞利用工具的網站上。

研究人員表示，KovCoreG使用了ISP以及基於地理位置的過濾器來篩選他們所要攻擊的目標用戶。值得注意的是，他們在PornHub上的惡意廣告活動主要針對的是美國、英國、加拿大和澳大利亞地區的用戶。

除此之外，該活動還有一個非常奇怪的地方，即他們在目標主機中下載的文件：JavaScript和HTA文件。奇怪的地方就在於，如果目標用戶的IP地址沒有順利通過ISP以及GEO過濾器的檢測，那麼這兩種文件將不會在目標用戶的主機中運行。研究人員猜測，這種二次檢測的目的是為了限制安全研究專家對他們的活動進行分析。

就在兩周之前，Malwarebytes的安全研究人員還在MSN.com上發現了類似的惡意廣告活動，當時的攻擊者使用了Taboola廣告網路來託管他們的惡意廣告。當用戶點擊了惡意廣告之後，他們將會被重定向到一個技術支持詐騙網站上。

如果你還想了解更多關於KovCoreG以及Taboola惡意廣告活動的詳細內容，請參考下面這兩篇報告：【KovCoreG】【Taboola】

（點擊閱讀原文查看相關鏈接）

* 參考來源：bleepingcomputer，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！