Angribere leverer malware via falske certifikatfejl på webstedet

Angribere leverer malware via falske certifikatfejl på webstedet

Cyberkriminelle distribuerer malware ved hjælp af falske anmodninger om opdatering af sikkerhedscertifikater, der vises på tidligere kompromitterede websteder, og forsøger at inficere potentielle ofre med bagdøre og trojanere ved hjælp af en ondsindet installationsprogram.

Angriberne agner deres mål med en "NET :: ERR_CERT_OUT_OF_DATE" fejlmeddelelse præsenteret i en iframe, der vises over webstedets faktiske indhold og beder dem om at installere et sikkerhedscertifikat, der giver deres forbindelse mulighed for at få succes.

Sikkerhedscertifikater (også kendt som digitale certifikater eller identitetscertifikater) udstedes af Certificeringsmyndigheder (CA'er) og bruges til at kryptere kommunikationen mellem en brugers browser og et websteds server.

Når digitale certifikater er forældede og ikke fornyes, viser webbrowsere en anmeldelse, der fortæller brugerne om faldet i sikkerheden ved deres forbindelse til webstedet.

Malware-kampagne, der er aktiv i mindst to måneder

Sikkerhedsforskere ved Kaspersky har fundet, at de tidligste tegn på, at denne kampagne stammer fra 16. januar 2020, hvor forskellige typer websteder er kompromitteret og bruges til at levere malware til ofre, fra autodelsbutikker til stedet for en zoologisk have.

”Den alarmerende anmeldelse består af en iframe - med indhold indlæst fra tredjepartsressourcen ldfidfa [.] pw - overlagt oven på den originale side, ”fandt forskerne. "URL-linjen viser stadig den legitime adresse."

Koden, der er injiceret af operatørerne bag denne kampagne som et jquery.js-script, overlejrer den ondsindede iframe med nøjagtigt samme størrelse som den kompromitterede webside.

Falske digitale certifikatfejl
Billede: Kaspersky

“Iframe-indholdet indlæses fra adressen https [:] [.] // ldfidfa pw // chrome.html, Tilføjer forskerne. "Som et resultat ser brugeren i stedet for den originale side et tilsyneladende ægte banner, der presserende anmoder om at installere en certifikatopdatering."

Hvis målene falder for angribernes tricks og klikker på knappen "Installer (anbefalet)" under den falske advarselsmeddelelse, downloader de en Certificate_Update_v02.2020.exe binær, der inficerer dem med malware i stedet for at løse den opbyggede sikkerhedscertifikatsfejl.

Kaspersky opdagede under overvågningen af ​​disse angreb, at ofrene vil blive inficeret enten med Buerak Trojan downloader, der vil downloade og installere mere malware på inficerede computere.

Den Mokes bagdør blev også spredt som en ondsindet nyttelast i begyndelsen af ​​januar og brugt af angriberen til at downloade yderligere malware, til at stjæle ofrenes brugeroplysninger, fange tastetryk, optage omgivelseslyd hvert 5. minut, samt tage skærmbilleder og aflytte oplysninger indtastet i webbrowser.

Flere detaljer om denne kampagne og indikatorer for kompromis (IOC'er) inklusive malware-hashes og kommando-og-kontrol-serverdomæneinfo er tilgængelige i slutningen af ​​Kasperskys analyse.

Spred kærligheden

Relaterede stillinger

Giv en kommentar

Din e-mail adresse vil ikke blive offentliggjort. Krævede felter er markeret *