小心！黑客组织KovCoreG正在利用虚假的浏览器和Flash更新来传播恶意软件

近期，安全研究人员发现了一个名叫KovCoreG的黑客组织正在利用伪造的浏览器及Flash更新来欺骗用户安装Kovter恶意软件。

研究人员表示，攻击者使用了PornHub上的恶意广告来将用户重定向至一个诈骗网站，而这个网站回弹出“紧急更新”之类的窗口来欺骗用户安装“浏览器或Flash更新”，当然了，这种所谓的“更新程序”其实就是攻击者在这个诈骗网站上托管的恶意软件。

比如说，当用户使用Chrome或Firefox访问这个网页时，网站会询问用户是否需要下载浏览器更新补丁，如果用户使用的是IE或Edge浏览器的话，该网站则会询问用户是否需要下载Flash更新。

实际上，用户此时所下载下来的文件将会是一个JavaScript脚本（Chrome，Firefox）或HTA文件（IE，Edge），而这种恶意文件将会在目标用户的计算机中安装Kovter。Kovter恶意软件是一种多用途的恶意软件下载器，它可以在目标主机中下载广告欺诈软件、勒索软件和信息窃取软件等多种类型的恶意软件。

受影响地区主要为英国、美国、加拿大和澳大利亚

Proofpoint的研究人员通过分析后发现了KovCoreG的恶意广告活动，并将事件信息告知了PornHub以及Traffic Junky，因为这两个网站的广告网络都在此次恶意广告活动中被攻击者所利用。随后，这两家公司也撤下了相应的广告。【更新：该活动现在已蔓延至了雅虎的网站】

实际上，在近期所发现的恶意广告活动中，攻击者一般都会将目标用户重定向到一个社会工程学网站（诈骗或伪造下载内容等等）上，这已经形成了一种发展趋势，而这个黑客组织的操作手法同样顺应了这一趋势。但是在此之前，此类活动中的攻击者一般都会直接将目标用户重定向到一个托管了漏洞利用工具的网站上。

研究人员表示，KovCoreG使用了ISP以及基于地理位置的过滤器来筛选他们所要攻击的目标用户。值得注意的是，他们在PornHub上的恶意广告活动主要针对的是美国、英国、加拿大和澳大利亚地区的用户。

除此之外，该活动还有一个非常奇怪的地方，即他们在目标主机中下载的文件：JavaScript和HTA文件。奇怪的地方就在于，如果目标用户的IP地址没有顺利通过ISP以及GEO过滤器的检测，那么这两种文件将不会在目标用户的主机中运行。研究人员猜测，这种二次检测的目的是为了限制安全研究专家对他们的活动进行分析。

就在两周之前，Malwarebytes的安全研究人员还在MSN.com上发现了类似的恶意广告活动，当时的攻击者使用了Taboola广告网络来托管他们的恶意广告。当用户点击了恶意广告之后，他们将会被重定向到一个技术支持诈骗网站上。

如果你还想了解更多关于KovCoreG以及Taboola恶意广告活动的详细内容，请参考下面这两篇报告：【KovCoreG】【Taboola】