趋势科技在本周四发布的博客文章中表示,他们的网络安全解决方案团队一直在跟踪与潜在不受欢迎应用程序(PUA)下载器分发相关的恶意活动,并详细介绍了一款被称为“ICLoader(也被称为FusionCore,由趋势科技检测为PUA_ICLOADER)”的PUA软件下载器。它是一个早期版本的PUA软件下载器,并已经被多家安全公司认定为存在恶意下载行为,因为它安装了广告软件或其他一些用户并不需要的软件。如同大多数威胁一样,ICLoader也在不断发展并适应当前的网络环境。从年以来,它就开始了推动各种僵尸网络、加密货币矿工以及新兴的勒索软件GandCrab(由趋势科技检测为RANSOM_GANDCRAB.A)的分发。ICLoader自身的分发利用了部署在文件共享服务网站的弹出式广告以及超过个虚假软件共享网站,而且这些网站到目前为止仍然能够被正常访问。三种分发途径趋势科技表示,他们发现了三种分发ICLoader的途径。如上所述,第一种分发途径涉及在免费文件共享服务网站上使用弹出式广告——这是一种常被用于分发用户并不需要的应用程序或者恶意软件的已知途径。而所谓的文件共享服务网站,则允许用户上传文件并与其他人共享下载链接。当用户点击页面上的下载按钮时,弹出式广告就会出现。ICLoader使用这些弹出式广告作为安装的诱饵。当用户点击下载按钮时,弹出式广告会在带有恶意链接的新窗口中打开,这也就是ICLoader的下载页面。不过,受害者通常只会认为这是共享网站上的真实文件。点击链接会安装ICLoader,它可以将某些受害者并不需要的应用程序或者恶意软件安装到受害者的设备上。图1.点击文件共享服务网站上的弹出式广告会打开ICLoader的下载页面(右侧)第二种分发途径便是前面提到的虚假软件共享网站。趋势科技发现了个这样的网站,每个网站都共享着数百款破解软件。这些网站列出了软件的详细说明,并在页面底部的破解版本上有“免费下载”按钮,而这些下载链接无疑全部都连接到了会重定向用户下载不同PUA软件下载器(主要是ICLoader)的服务器。图2.虚假软件共享网站列表趋势科技对这些虚假网站进行了分析,发现下载按钮的图片通常会与多个短网址相关联。而这些短网址则指向了托管ICLoader的网站,其中一个创建时间较早的网站自年以来访问量超过了万次,而最近创建的网站在每周约有近30万次的访问量。图3.虚假软件共享网站访问量统计除了软件共享网站,两个虚假种子分享网站(模仿了真实网站)也被发现用于分发ICLoader,这也就是上述的第三种分发途径。图4.两个虚假种子分享网站ICLoader运作原理在受害者点击“免费下载”后,恶意链接将受害者通过流量管理服务器重定向到ICLoader下载页面。从ICLoader服务器下载的文件通常是一个zip文件或者torrent文件,无论怎样受害者最终得到的软件都是相同的。趋势科技发现ICLoader在每次从服务器下载时都有不同的散列值。图5.来自弹出式广告、软件共享网站和种子分享网站的流量转到同一台服务器上,重定向受害者到ICLoader下载页面下载的ICLoader文件具有受害者最初打算下载的软件的名称,这是诡计的一部分,以说服受害者下载的软件是合法的。一旦受害者执行ICLoader文件,将看到典型的软件安装说明和步骤。趋势科技表示,为了使得自己看起来更加合法且有效,这些PUA软件下载器还使用了有效的COMODO证书签署。安装完成后,ICLoader将开始下载并安装合法软件。但是,它将在安装完成之前会与其C&C服务器进行通信并接收其他恶意文件。ICLoader将在未经用户许可的情况下将其他文件安装到受害者的设备上。早期ICLoader版本的C&C服务器具有“.ru”域或IP地址,而更新的版本已经转向了使用AmazonAWS来托管它们的服务器。图6.ICLoader的C&C流量模式ICLoader推送了哪些恶意软件趋势科技表示,ICLoader不仅会下载广告软件和受害者并不需要的软件,而且也下载了恶意软件,这包括了7种不同的僵死网络、4种不同的加密货币矿工以及GandCrab勒索软件。其中一个加密货币矿工(由趋势科技检测为COINMINER_MALXMR.TIBAFR)会安装一个VB脚本,并在每次系统启动时执行。这个VB脚本将使用BITSAdmin工具加载额外的VB脚本,然后使用PowerShell下载并执行挖矿程序。另外,PowerShell脚本还会检查受感染系统并根据受害者的设备选择下载32位矿工或者64位矿工。矿工的下载链接是一个短网址,根据对应网站的流量统计数据显示,这个加密货币矿工僵尸网络每天会导致大约8万名受害者成为新的矿工。图7.x86(左)和x64(右)加密货币矿工下载的数量趋势科技指出,他们在今年2月份发现了最新的ICLoader版本。从这个版本开始,ICLoader便开始了下载上述中提到的GandCrab勒索软件。另外,新版ICLoader还会安装一个之前未出现过的恶意软件加载程序“iNerino”。它能够安装不同的恶意软件和僵尸网络,如SmokeLoader和AZORult,而这些僵尸网络通常被用于安装加密货币矿工。趋势科技发现,iNerino是一款正在俄语论坛上出售的“安装工具”。而现在,iNerino不仅通过ICLoader分发,而且也通过漏洞利用工具包Rig分发。这表明,iNerino的开发人员已经开始了通过向ICLoader和Rig的开发人员支付费用来进行产品推广,以扩展其销售渠道。图8.iNerino加载程序于2月26日在漏洞利用工具包Rig中被发现图9.俄语论坛上的iNerino广告趋势科技建议,各位计算机用户应该在点击任何网页广告之前保持谨慎,并且尽量从可信来源下载和安装软件。另外,及时安装可用安全补丁以及始终保持将计算机操作系统升级至最新版本,这对于解决潜在的可利用漏洞很有帮助。本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
转载请注明:http://www.0431gb208.com/sjszyzl/8547.html
