趨勢科技:彈出式廣告和超過100個網站正在助推惡意軟體分發
「用指尖改變世界」
趨勢科技在本周四發布的博客文章中表示,他們的網路安全解決方案團隊一直在跟蹤與潛在不受歡迎應用程序(PUA)下載器分發相關的惡意活動,並詳細介紹了一款被稱為「ICLoader(也被稱為FusionCore,由趨勢科技檢測為PUA_ICLOADER)」的PUA軟體下載器。它是一個早期版本的PUA軟體下載器,並已經被多家安全公司認定為存在惡意下載行為,因為它安裝了廣告軟體或其他一些用戶並不需要的軟體。
如同大多數威脅一樣,ICLoader也在不斷發展並適應當前的網路環境。從2017年以來,它就開始了推動各種殭屍網路、加密貨幣礦工以及新興的勒索軟體GandCrab(由趨勢科技檢測為RANSOM_GANDCRAB.A)的分發。
ICLoader自身的分發利用了部署在文件共享服務網站的彈出式廣告以及超過100個虛假軟體共享網站,而且這些網站到目前為止仍然能夠被正常訪問。
三種分發途徑
ICLoader使用這些彈出式廣告作為安裝的誘餌。當用戶點擊下載按鈕時,彈出式廣告會在帶有惡意鏈接的新窗口中打開,這也就是ICLoader的下載頁面。
圖1.點擊文件共享服務網站上的彈出式廣告會打開ICLoader的下載頁面(右側)
圖2.虛假軟體共享網站列表
趨勢科技對這些虛假網站進行了分析,發現下載按鈕的圖片通常會與多個短網址相關聯。而這些短網址則指向了託管ICLoader的網站,其中一個創建時間較早的網站自2015年以來訪問量超過了5000萬次,而最近創建的網站在每周約有近30萬次的訪問量。
圖3.虛假軟體共享網站訪問量統計
除了軟體共享網站,兩個虛假種子分享網站(模仿了真實網站)也被發現用於分發ICLoader,這也就是上述的第三種分發途徑。
圖4.兩個虛假種子分享網站
ICLoader運作原理
在受害者點擊「免費下載」後,惡意鏈接將受害者通過流量管理伺服器重定向到ICLoader下載頁面。從ICLoader伺服器下載的文件通常是一個zip文件或者torrent文件,無論怎樣受害者最終得到的軟體都是相同的。
趨勢科技發現ICLoader在每次從伺服器下載時都有不同的散列值。
圖5.來自彈出式廣告、軟體共享網站和種子分享網站的流量轉到同一台伺服器上,重定向受害者到ICLoader下載頁面
下載的ICLoader文件具有受害者最初打算下載的軟體的名稱,這是詭計的一部分,以說服受害者下載的軟體是合法的。一旦受害者執行ICLoader文件,將看到典型的軟體安裝說明和步驟。趨勢科技表示,為了使得自己看起來更加合法且有效,這些PUA軟體下載器還使用了有效的COMODO證書籤署。
安裝完成後,ICLoader將開始下載並安裝合法軟體。但是,它將在安裝完成之前會與其C&C伺服器進行通信並接收其他惡意文件。ICLoader將在未經用戶許可的情況下將其他文件安裝到受害者的設備上。
早期ICLoader版本的C&C伺服器具有「.ru」域或IP地址,而更新的版本已經轉向了使用Amazon AWS來託管它們的伺服器。
圖6. ICLoader 的C&C流量模式
ICLoader推送了哪些惡意軟體
趨勢科技表示,ICLoader不僅會下載廣告軟體和受害者並不需要的軟體,而且也下載了惡意軟體,這包括了7種不同的僵死網路、4種不同的加密貨幣礦工以及GandCrab勒索軟體。
其中一個加密貨幣礦工(由趨勢科技檢測為COINMINER_MALXMR.TIBAFR)會安裝一個VB腳本,並在每次系統啟動時執行。這個VB腳本將使用BITSAdmin工具載入額外的VB腳本,然後使用PowerShell下載並執行挖礦程序。另外,PowerShell腳本還會檢查受感染系統並根據受害者的設備選擇下載32位礦工或者64位礦工。
※ESET:間諜軟體Turla正偽裝成Flash Player安插後門程序竊取敏感信息
※全球最大家譜網站Ancestry.com意外泄露了30萬名用戶的登錄憑證
TAG:黑客視界 |