小心!黑客组织KovCoreG正在利用虚假的浏览器和Flash更新来传播恶意软件

近期,安全研究人员发现了一个名叫KovCoreG的黑客组织正在利用伪造的浏览器及Flash更新来欺骗用户安装Kovter恶意软件。

研究人员表示,攻击者使用了PornHub上的恶意广告来将用户重定向至一个诈骗网站,而这个网站回弹出“紧急更新”之类的窗口来欺骗用户安装“浏览器或Flash更新”,当然了,这种所谓的“更新程序”其实就是攻击者在这个诈骗网站上托管的恶意软件。

比如说,当用户使用Chrome或Firefox访问这个网页时,网站会询问用户是否需要下载浏览器更新补丁,如果用户使用的是IE或Edge浏览器的话,该网站则会询问用户是否需要下载Flash更新。

实际上,用户此时所下载下来的文件将会是一个JavaScript脚本(Chrome,Firefox)或HTA文件(IE,Edge),而这种恶意文件将会在目标用户的计算机中安装Kovter。Kovter恶意软件是一种多用途的恶意软件下载器,它可以在目标主机中下载广告欺诈软件、勒索软件和信息窃取软件等多种类型的恶意软件。

受影响地区主要为英国、美国、加拿大和澳大利亚

Proofpoint的研究人员通过分析后发现了KovCoreG的恶意广告活动,并将事件信息告知了PornHub以及Traffic Junky,因为这两个网站的广告网络都在此次恶意广告活动中被攻击者所利用。随后,这两家公司也撤下了相应的广告。【更新:该活动现在已蔓延至了雅虎的网站】

实际上,在近期所发现的恶意广告活动中,攻击者一般都会将目标用户重定向到一个社会工程学网站(诈骗或伪造下载内容等等)上,这已经形成了一种发展趋势,而这个黑客组织的操作手法同样顺应了这一趋势。但是在此之前,此类活动中的攻击者一般都会直接将目标用户重定向到一个托管了漏洞利用工具的网站上。

研究人员表示,KovCoreG使用了ISP以及基于地理位置的过滤器来筛选他们所要攻击的目标用户。值得注意的是,他们在PornHub上的恶意广告活动主要针对的是美国、英国、加拿大和澳大利亚地区的用户。

除此之外,该活动还有一个非常奇怪的地方,即他们在目标主机中下载的文件:JavaScript和HTA文件。奇怪的地方就在于,如果目标用户的IP地址没有顺利通过ISP以及GEO过滤器的检测,那么这两种文件将不会在目标用户的主机中运行。研究人员猜测,这种二次检测的目的是为了限制安全研究专家对他们的活动进行分析。

就在两周之前,Malwarebytes的安全研究人员还在MSN.com上发现了类似的恶意广告活动,当时的攻击者使用了Taboola广告网络来托管他们的恶意广告。当用户点击了恶意广告之后,他们将会被重定向到一个技术支持诈骗网站上。

如果你还想了解更多关于KovCoreG以及Taboola恶意广告活动的详细内容,请参考下面这两篇报告:【KovCoreG】【Taboola】

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏即时通讯技术

Android P正式版即将到来:后台应用保活、消息推送的真正噩梦

对于广大Android开发者来说,Android O(即Android 8.0)还没玩热,Andriod P(即Andriod 9.0)又要来了。

7833
来自专栏顶级程序员

微软自打脸,Windows 7 再次成为微软的头号桌面操作系统

源 / 开源中国 文 / OSC - 周其 微软官方表示 Windows 10 用户一直在增长,该公司的统计数据显示,该操作系统在 2 月份就超过 6...

3016
来自专栏安智客

Android版本占比情况反映出对TEE强大的需求

Google Play每周发布一次的dashboards信息显示,Android各个版本目前的使用情况。之前9月份的Android主流版本为Android...

2286
来自专栏SDNLAB

开源软件的供应链是否存在安全风险?

2505
来自专栏小白课代表

看书必备!安卓+iOS 看小说神器!!

8263
来自专栏SAP最佳业务实践

SAP最佳业务实践:SD–销售订单处理:自库存销售(109)-2销售订单

销售订单的信用管理检查 信用管理 (108) 在此过程中,已为使用的客户设置了信用限额。 完成该业务情景的业务流程文档 中描述的所有活动:信用管理 (108)。...

4219
来自专栏腾讯大数据的专栏

海量终端,秒级送达!腾讯云移动推送信鸽后台探秘

终端单连接 消息推送已经成为APP的标配,要推送就要有长连接,而长连接要靠后台服务来维持。传统的推送实现中,每个APP使用一条长连接,启动一个后台服务,你一个我...

2465
来自专栏区块链

网腾科技-军规级网络安全渗透服务

安全不仅是防火墙,是一份责任与态度,更是一份投入。 用黑客思来维构建安全防线,知己知彼百战不殆! 安全渗透 渗透测试是对网站和服务器的全方位安全测试,通过模拟黑...

20910
来自专栏喵了个咪的博客空间

[喵咪海外部署]海外部署访问技术探索

[喵咪海外部署]海外部署访问技术探索 ? 当一个公司在开展海外业务的时候,对他的技术就有了挑战,因为海外用户访问会遭遇到各种问题(比如网络丢包,延迟高,国内防火...

4567
来自专栏Python与爬虫

从爬虫角度来说下360快视频事件

360快视频事件 最开始好像是东方华灯宴的视频被发现被盗用,然后众用户排查发现大量B站视频被快视频盗用,连用户和评论也大量照搬,并有很多B站用户发现使用B站的用...

36413

扫码关注云+社区

领取腾讯云代金券