趨勢科技：彈出式廣告和超過100個網站正在助推惡意軟體分發

「用指尖改變世界」

趨勢科技在本周四發布的博客文章中表示，他們的網路安全解決方案團隊一直在跟蹤與潛在不受歡迎應用程序（PUA）下載器分發相關的惡意活動，並詳細介紹了一款被稱為「ICLoader（也被稱為FusionCore，由趨勢科技檢測為PUA_ICLOADER）」的PUA軟體下載器。它是一個早期版本的PUA軟體下載器，並已經被多家安全公司認定為存在惡意下載行為，因為它安裝了廣告軟體或其他一些用戶並不需要的軟體。

如同大多數威脅一樣，ICLoader也在不斷發展並適應當前的網路環境。從2017年以來，它就開始了推動各種殭屍網路、加密貨幣礦工以及新興的勒索軟體GandCrab（由趨勢科技檢測為RANSOM_GANDCRAB.A）的分發。

ICLoader自身的分發利用了部署在文件共享服務網站的彈出式廣告以及超過100個虛假軟體共享網站，而且這些網站到目前為止仍然能夠被正常訪問。

三種分發途徑

ICLoader使用這些彈出式廣告作為安裝的誘餌。當用戶點擊下載按鈕時，彈出式廣告會在帶有惡意鏈接的新窗口中打開，這也就是ICLoader的下載頁面。

圖1.點擊文件共享服務網站上的彈出式廣告會打開ICLoader的下載頁面（右側）

圖2.虛假軟體共享網站列表

趨勢科技對這些虛假網站進行了分析，發現下載按鈕的圖片通常會與多個短網址相關聯。而這些短網址則指向了託管ICLoader的網站，其中一個創建時間較早的網站自2015年以來訪問量超過了5000萬次，而最近創建的網站在每周約有近30萬次的訪問量。

圖3.虛假軟體共享網站訪問量統計

除了軟體共享網站，兩個虛假種子分享網站（模仿了真實網站）也被發現用於分發ICLoader，這也就是上述的第三種分發途徑。

圖4.兩個虛假種子分享網站

ICLoader運作原理

在受害者點擊「免費下載」後，惡意鏈接將受害者通過流量管理伺服器重定向到ICLoader下載頁面。從ICLoader伺服器下載的文件通常是一個zip文件或者torrent文件，無論怎樣受害者最終得到的軟體都是相同的。

趨勢科技發現ICLoader在每次從伺服器下載時都有不同的散列值。

圖5.來自彈出式廣告、軟體共享網站和種子分享網站的流量轉到同一台伺服器上，重定向受害者到ICLoader下載頁面

下載的ICLoader文件具有受害者最初打算下載的軟體的名稱，這是詭計的一部分，以說服受害者下載的軟體是合法的。一旦受害者執行ICLoader文件，將看到典型的軟體安裝說明和步驟。趨勢科技表示，為了使得自己看起來更加合法且有效，這些PUA軟體下載器還使用了有效的COMODO證書籤署。

安裝完成後，ICLoader將開始下載並安裝合法軟體。但是，它將在安裝完成之前會與其C＆C伺服器進行通信並接收其他惡意文件。ICLoader將在未經用戶許可的情況下將其他文件安裝到受害者的設備上。

早期ICLoader版本的C＆C伺服器具有「.ru」域或IP地址，而更新的版本已經轉向了使用Amazon AWS來託管它們的伺服器。

圖6. ICLoader 的C＆C流量模式

ICLoader推送了哪些惡意軟體

趨勢科技表示，ICLoader不僅會下載廣告軟體和受害者並不需要的軟體，而且也下載了惡意軟體，這包括了7種不同的僵死網路、4種不同的加密貨幣礦工以及GandCrab勒索軟體。

其中一個加密貨幣礦工（由趨勢科技檢測為COINMINER_MALXMR.TIBAFR）會安裝一個VB腳本，並在每次系統啟動時執行。這個VB腳本將使用BITSAdmin工具載入額外的VB腳本，然後使用PowerShell下載並執行挖礦程序。另外，PowerShell腳本還會檢查受感染系統並根據受害者的設備選擇下載32位礦工或者64位礦工。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！