假浏览器更新被利用作为 BitRAT 和 Lumma Stealer 恶意软件的传递机制,eSentire 的威胁响应小组(TRU)在 2024 年 5 月检测到了这一点。
这些恶意软件负载隐藏在 JavaScript 代码中,并伪装成 .png 文件,通过 PowerShell 脚本进行部署,突显了用户提高警惕和加强端点保护措施的必要性。
假浏览器更新已成为传播恶意软件的一种常见方法,正如 eSentire 的威胁响应小组(TRU)最近的发现所强调的那样。2024 年 5 月,TRU 发现了假更新分发 BitRAT 和 Lumma Stealer 的实例,这两种恶意软件因其数据窃取能力而臭名昭著。
攻击通常从用户访问包含恶意 JavaScript 代码的受损网页开始,该代码会将用户重定向到一个伪造的更新页面,敦促他们从 Discord 的内容分发网络(CDN)下载名为“Update.zip”的 Zip 存档,这个存档中包含一个 JavaScript 文件(Update.js),这是最初的下载器,在执行时获取负载。
在执行 Update.js 后,会激活多个 PowerShell 脚本,这些脚本托管在一个已知的 BitRAT 命令与控制(C2)地址上,这些脚本有助于下载和执行后续负载,这些负载伪装成具有各种功能的 .png 文件,包括加载、持久性和实际负载传递。
其中一个负载 BitRAT 拥有许多功能,如远程桌面访问和加密货币挖矿,另一个检测到的负载 Lumma Stealer 专门窃取敏感数据,如加密货币钱包和浏览器扩展,作为一种服务式恶意软件(Malware-as-a-Service)运行。
假更新作为传递渠道的使用,突显了用户对更新提示合法性保持警惕的必要性,实施强大的端点保护工具和开展安全意识培训项目可以有效地减轻此类威胁。
