黑基网 首页 资讯 安全圈 查看内容

黑客组织使用虚假浏览器和Flash更新消息传播恶意软件Kovter

2017-10-10 19:17| 投稿: lofor |来自: 互联网

摘要: 近日,网络安全公司Proofpoint(PFPT)的研究人员发现一个代号为“KovCoreG”的黑客组织长期在使用虚假的浏览器或Flash更新提醒消息来诱骗受害者安装恶意软件Kovter。借助恶意广告传播恶意软件该组织在PornHub(一个 ...

近日,网络安全公司Proofpoint(PFPT)的研究人员发现一个代号为“KovCoreG”的黑客组织长期在使用虚假的浏览器或Flash更新提醒消息来诱骗受害者安装恶意软件Kovter。

借助恶意广告传播恶意软件

该组织在PornHub(一个色情影片分享网站)上通过恶意广告将受害者重定向到“紧急更新”的钓鱼网站页面。根据受害者使用的浏览器不同,受害者会收到不同内容的更新提醒消息。

例如,使用 Chrome浏览器和Firefox浏览器的受害者将收到要求下载浏览器更新的提醒消息,而使用IE浏览器和Edge浏览器的受害者收到的则是要求下载Flash更新的提醒消息。

当然,如果受害者点击了“更新按钮”是不可能得到正确的更新的。相反,得到的文件是安装恶意软件Kovter的JavaScript(Chrome,Firefox)或HTA(IE,Edge)文件。

功能多样性的恶意软件

Kovter是目前发现的最先进的恶意软件家族。它包含了复杂的功能,如文件不用落盘,拥有只创建一个注册表键值就可以感染系统的能力,这让很多反病毒产品很难探测到它。

另外,Kovter采用rootkit功能来进一步隐藏自身的存在,并会积极的识别和关闭安全解决方案。

Kovter首次出现是在2015年,一直被用作其他恶意软件家族的下载者,一个负责偷取个人信息的工具,一个用于获得系统访问权的后门。

然而在2016年,Kovter开始被用作广告欺诈恶意软件。这种恶意软件可以被用于劫持系统,并使用它去访问网站、点击广告,这是为了在广告竞价活动(被称为点击劫持)中创造更多的点击量。

英国、美国、加拿大、澳大利亚成主要受灾区

Proofpoint的研究人员在发现这个恶意广告活动后及时通知了Pornhub和Traffic Junky(一家美国广告商)。这两家公司也在接到通知后,选择了介入以及关闭了诸如此类的恶意广告。

研究人员还发现,KovCoreG组织使用了ISP和Geofilters滤镜(地理位置滤镜)来筛选出他

们想要攻击的目标。如果计算机的IP地址没有通过相同的ISP和Geofilters滤镜,则下载的文件(JavaScript或者HTA文件)将不会在计算机上执行。

目前,PornHub恶意广告系列主要针对美国、英国、加拿大和澳大利亚的用户。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文搜集整理自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,请我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部