在阻止訪問安全軟件供應(yīng)商的網(wǎng)站時(shí)�,已經(jīng)觀察到一種新發(fā)現(xiàn)的DNS變換器特洛伊木馬被稱為Extenbro��,以防止其受害者擺脫它在其計(jì)算機(jī)上轉(zhuǎn)儲(chǔ)的廣告軟件�����。
“這些DNS更換者阻止訪問與安全相關(guān)的網(wǎng)站���,因此廣告軟件受害者無(wú)法下載和安裝安全軟件以擺脫有害生物�,”Malwarebytes Labs的安全研究人員詳細(xì)說(shuō)明了這一新的惡意軟件。
作為一個(gè)副作用����,Extenbro還將公開其管理的機(jī)器以妥協(xié)到各種其他威脅����,因?yàn)樗ㄟ^拒絕他們?cè)L問反惡意軟件解決方案而使他們無(wú)法自衛(wèi)。
“如果他們通過禁止您訪問安全網(wǎng)站并阻止任何現(xiàn)有安全軟件獲取更新來(lái)打開您的機(jī)器以應(yīng)對(duì)各種威脅�����,他們會(huì)關(guān)心什么���?他們只是想為您提供廣告軟件�����,”研究人員補(bǔ)充說(shuō)����。
過去在Vonteera廣告軟件系列中采用了這種行為���,該 系列采用系統(tǒng)證書來(lái)禁用其感染的計(jì)算機(jī)上的反惡意軟件���。
Bundler用于感染目標(biāo)
Extenbro木馬會(huì)在下載廣告軟件捆綁包后感染其目標(biāo)���,廣告軟件捆綁軟件包通常與廣告軟件或間諜軟件組件一起提供,這些軟件包在下載程序模塊的幫助下下載到受害者的計(jì)算機(jī)上����。
Malwarebytes檢測(cè)到用于將此DNS轉(zhuǎn)換器惡意軟件分發(fā)的捆綁程序,如 Trojan.IStartSurf�����,該公司用于標(biāo)記劫機(jī)者和廣告軟件捆綁包系列的monicker�����。
“不受歡迎的廣告不是來(lái)自他們正在訪問的網(wǎng)站���,或者他們的瀏覽器打開了他們自己未設(shè)置的起始頁(yè)”���,這些都是受害者在感染后會(huì)開始注意到的癥狀。
成功登陸受害者的計(jì)算機(jī)后,Extenbro將更改DNS設(shè)置��,以便無(wú)法訪問安全供應(yīng)商的網(wǎng)站��,從而有效地阻止他們下載和安裝能夠檢測(cè)和阻止它的安全軟件
Malwarebytes Labs的研究團(tuán)隊(duì)補(bǔ)充說(shuō):“對(duì)于這個(gè)問題�,新的一點(diǎn)是你必須訪問高級(jí)DNS選項(xiàng)卡,才能發(fā)現(xiàn)它已經(jīng)添加了四個(gè)DNS服務(wù)器�,而不是通常的兩個(gè)��!
“人們可能傾向于更改可見的兩個(gè)�����,使用”高級(jí)“按鈕并查看”DNS“選項(xiàng)卡:這會(huì)導(dǎo)致他們將其他兩個(gè)留下������!
即使在成功查找并刪除添加到其網(wǎng)絡(luò)設(shè)置中的所有流氓DNS服務(wù)器之后�,惡意軟件也會(huì)在系統(tǒng)重新啟動(dòng)后重新添加它們,因?yàn)樗會(huì)在感染階段為此特定目的添加隨機(jī)命名的計(jì)劃任務(wù)����。
Extenbro DNS-changer Trojan還將在所有受感染的計(jì)算機(jī)上禁用IPv6,以確保受害者不會(huì)繞過攻擊者控制的DNS服務(wù)器并設(shè)法使其計(jì)算機(jī)受到保護(hù)。
它還將為Windows根證書添加根證書����,并“在Firefox user.js文件中進(jìn)行更改,并將security.enterprise_roots.enabled設(shè)置為true�,這將配置Firefox以使用新添加的Windows證書存儲(chǔ)區(qū)根證書已添加。
就在上周��,英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了一份關(guān)于正在進(jìn)行的域名系統(tǒng)(DNS)劫持攻擊的公告��,威脅行為者為了惡意目的而改變其目標(biāo)的DNS設(shè)置�。
這種情況先于各種類型的惡意攻擊,從針對(duì)常規(guī)用戶的網(wǎng)絡(luò)釣魚和流量嗅探到針對(duì)組織的大量嚴(yán)重攻擊����,最終可能導(dǎo)致其域和服務(wù)器的控制丟失。
完整的折衷指標(biāo)列表(IOC)包括DNS更換器惡意軟件使用的DNS服務(wù)器的IP�,特洛伊木馬使用的根證書以及 SHA256惡意軟件樣本哈希值,可在Malwarebytes Labs Extenbro報(bào)告的末尾 找到�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
