偽造瀏覽器更新推送的勒索軟體和銀行木馬攻擊活動分析

概述

最近，我們發現了一個惡意廣告軟體注入腳本，該腳本可以將偽造的瀏覽器更新提示推送給網站訪問者。

下面是典型的偽造更新請求的示例，黑客在網站上偽造了Firefox的更新中心消息並顯示：

用戶將會看到一個消息框，指出這是用戶瀏覽器所對應的「更新中心」。我使用的是Firefox，但同時還有Chrome、Internet Explorer和Edge瀏覽器對應的提示消息框。

在該消息中顯示：「由於瀏覽器使用了過期版本，導致發生驗證錯誤。需要用戶儘快更新瀏覽器」。為了加強「嚴重錯誤」的這一誤導，惡意軟體還會在後台顯示出一些亂碼的文本內容。

注入過程

經過研究，我們已經確定了利用上述手段在最近開展的幾次大規模攻擊。

黑客會對指向外部腳本的鏈接進行注入，或者將整個腳本代碼注入到被入侵的網頁上。

1. 外部Update.js腳本

以下是該廣告系列使用的一些外部腳本鏈接示例：

·hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js–225個被感染的站點

·hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js – 當前有54個受感染的站點

·hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js – 198個被感染的站點

var link_to_file="hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip

使用VirusTotal進行排查，發現有14個反病毒軟體將該文件標識為特洛伊木馬。我們可以在該平台上找到一些與之類似的文件。

2. 內聯腳本

在某些情況下，黑客並沒有鏈接到外部腳本，而是在受感染網頁的底部注入完整的惡意JavaScript代碼。

在DLE網站上HTML代碼底部注入的虛假更新代碼：

注入的代碼非常龐大，已經超過了90KB。為了隱藏這部分代碼，攻擊者增加了70多個空行，希望藉此能讓管理員在看到空屏幕後停止瀏覽後面的代碼。

目前，我們看到有117個網站上存在此類惡意軟體。

最新版本的注入腳本如下圖所示：

最新版本的惡意軟體會在被攻陷的第三方網站上使用這些Payload鏈接：

·hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip

·VirusTotal：https://www.virustotal.com/#/file/3cb58a30d8580235ece2ad13adc6f09dee7ead170e28a7939b0e8125b116f4e9/detection

·hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip

·VirusTotal：https://www.virustotal.com/#/file/edb1b726f7c4f5f8e3ce1487a47ccedccf00fcfa958277abaa5860331bf41e4b/detection 14 / 58

·hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip

·VirusTotal：https://www.virustotal.com/#/file/f1b4bf9f9db29cad11633fb16dae3e8df0fc8edbdf295191ab93b90f612f58a5/detection

虛假JPG文件中的壓縮包Zip和惡意軟體

其中的ZIP文件非常小，大約只有3KB。對於真正的Windows惡意軟體來說，這個大小顯然還不夠。因此，我的同事Peter Gramantik對壓縮包文件進行了分析，發現實際上它們只包含一個.js文件，其名稱如下：

「update_2019_02.browser-components .js」

在文件名中，「components」後面包含100個空格字元，看起來像是攻擊者使用了一些隱藏文件擴展名的技巧。

在這裡的JavaScript文件是經過混淆的，它具有以下加密的關鍵字：

Open

Type

Write

ResponseBody

Position

Open

unknown

GetTempName

charAt

ADODB.Recordset

SaveToFile

cmd.exe /c

open

GET

send

hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg

hxxp://refkids[.]ir/wp-content/themes/nuovowp/assets/css/browser.jpg

Scripting.FileSystemObject

ADODB.Stream

Status

Close

Wscript.Shell

deleteFile

在分析過程中，我們很容易看到代碼使用Windows腳本宿主功能下載外部文件，執行這些外部文件，然後刪除。

在這種情況下，腳本會嘗試從被攻陷的第三方站點下載browser.jpg文件。但是，我們不能被看似良性的.jpg擴展名而迷惑。該文件實際上是使用「cmd.exe /c 」命令啟動的Windows可執行文件（.exe）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！