Proofpoint的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn),利用虛假瀏覽器更新來傳播惡意軟件的威脅活動(dòng)呈上升趨勢(shì)疚膊。
至少有四種不同的威脅集群利用這種欺騙策略被跟蹤。假冒瀏覽器更新是指被入侵的網(wǎng)站睁冬,它們會(huì)顯示假冒的通知矗晃,模仿Chrome、Firefox或Edge等流行瀏覽器畦浓,引誘用戶下載惡意軟件痹束,而不是合法的更新。
在發(fā)布的一份報(bào)告中讶请,Proofpoint表示祷嘶,威脅行為者TA569在過去的五年里一直在使用虛假的瀏覽器更新來傳播SocGholish惡意軟件。最近秽梅,其他威脅行為者也采用了這種策略。
這些威脅使用JavaScript或html注入代碼滲透網(wǎng)站剿牺,將流量引導(dǎo)到他們控制的域企垦,并自動(dòng)下載惡意有效載荷。
Proofpoint安全研究員Dusty Miller解釋說:“虛假瀏覽器更新的成功在于利用用戶對(duì)已知和安全站點(diǎn)的信任晒来,從而繞過安全意識(shí)培訓(xùn)钞诡。”
在各種電子郵件流量源(包括常規(guī)電子郵件和監(jiān)控警報(bào))中都可以找到受感染的URL湃崩。這些威脅不僅限于電子郵件荧降,用戶還會(huì)在搜索引擎、社交媒體或直接訪問網(wǎng)站時(shí)遇到它們攒读。
每個(gè)威脅活動(dòng)采用獨(dú)特的方法來過濾流量朵诫,使檢測(cè)具有挑戰(zhàn)性。這些攻擊包括三個(gè)階段薄扁,分別是在被入侵的網(wǎng)站上注入病毒剪返,到行動(dòng)者控制域的流量废累,以及在用戶設(shè)備上的有效載荷執(zhí)行。
Proofpoint將SocGholish歸因于TA569, TA569觀察到威脅行為者使用各種方法將受感染網(wǎng)站的流量引導(dǎo)到其行為者控制的域名脱盲。
RogueRaticate/FakeSG是一種較新的威脅邑滨,它將混淆的JavaScript代碼注入到stage 1網(wǎng)站中,并使用Keitaro TDS進(jìn)行有效載荷交付钱反。ZPHP/SmartApeSG利用異步請(qǐng)求掖看,而ClearFake使用base64編碼腳本并以不同的語言顯示誘餌。
米勒警告說:“這些虛假的瀏覽器更新威脅強(qiáng)調(diào)了強(qiáng)有力的網(wǎng)絡(luò)安全措施的必要性面哥“タ牵”
建議中寫道:“組織應(yīng)該有適當(dāng)?shù)木W(wǎng)絡(luò)檢測(cè)(包括使用新興威脅規(guī)則集)并使用端點(diǎn)保護(hù)。此外幢竹,組織應(yīng)該培訓(xùn)用戶識(shí)別活動(dòng)并向其安全團(tuán)隊(duì)報(bào)告可疑活動(dòng)耳峦。這是非常具體的培訓(xùn),但可以很容易地整合到現(xiàn)有的用戶培訓(xùn)計(jì)劃中焕毫《卓溃“
