详细内容或原文请订阅后点击阅览
Chrome 要求更新?在让他这样做之前请三思
阴险的 BitRAT 和 Lumma Stealer 如何通过伪装成合法更新来欺骗用户。
来源:安全实验室新闻频道阴险的 BitRAT 和 Lumma Stealer 如何通过伪装成合法更新来欺骗用户。
虚假浏览器更新被积极用于分发远程访问木马 (RAT) 和其他恶意软件,例如 BitRAT 和 Lumma Stealer(也称为 LummaC2)。
老鼠根据网络安全公司 eSentire 最近的一份报告,虚假浏览器更新导致许多恶意软件感染,包括众所周知的 SocGholish。 2024 年 4 月,人们观察到 FakeBat 恶意软件通过类似的虚假更新机制进行传播。
最近报告 eSentire当潜在受害者访问包含 JavaScript 代码的受感染网站时,攻击就会开始,该代码会将用户重定向到虚假的浏览器更新页面(“chatgpt-app[.]cloud”)。此页面包含下载 Discord 平台上托管的 ZIP 存档(“Update.zip”)的链接,该存档会自动下载到受害者的设备上。
使用 Discord 作为攻击媒介变得越来越普遍,Bitdefender 最近的一项分析发现,在过去六个月中,有超过 50,000 个传播恶意软件、网络钓鱼活动和垃圾邮件的危险链接。
近期分析 BitdefenderZIP 存档包含一个运行 PowerShell 脚本的 JavaScript 文件(“Update.js”)。这些脚本从远程服务器以 PNG 文件形式下载其他有效负载,包括 BitRAT 和 Lumma Stealer。
还加载了用于持久性的 PowerShell 脚本和用于运行恶意软件最后阶段的基于 .NET 的加载程序。 eSentire 专家推测,该下载程序被宣传为“恶意软件传送服务”,因为它用于分发 BitRAT 和 Lumma Stealer。
路过 最近报告 在这里。