通过合法服务的软件更新分发恶意软件是一种行之有效的技术。在这种情况下,黑客诱使毫无戒心的用户安装了最新更新的Adob??eFlashPlayer版本,结果证明这是恶意软件。然而,这一次,网络犯罪分子在他们的方法中增加了一些创新。据卡巴斯基实验室的网络安全研究人员称,网络犯罪分子正在使用网站安全证书诱骗无辜用户,并且已经用恶意软件感染了许多网站。当用户访问受感染的网站时,会显示一条消息,指出该网站的安全证书已过期,需要更新。此更新实际上感染了Mokes或Buerak恶意软件。Mokes是一个复杂的后门,可以感染macOS和Windows系统并执行多种功能,包括截屏、执行代码以及从设备窃取敏感的个人数据、音频和视频文件、文档和PC信息。此外,它使用AES-256加密来保持不被发现,并安装了另一个后门以增强持久性。相反,Buerak会感染基于Windows的系统。该木马可以操纵正在运行的进程、执行代码、窃取数据、使用注册表项来增加持久性,并且可以识别和绕过不同的沙盒和分析机制。在一篇博文中,研究人员解释说,为了诱捕受害者,受感染的网站会显示一个错误,要求用户更新他们的SSL/TLS安全证书,这些证书是由证书颁发机构颁发的网站安全证书,以确保浏览器和服务器之间的加密通信并证明域真实性。显示虚假消息的被黑网站的屏幕截图消息通过jquery.js脚本中的iframe显示,活动通过C&C服务器监控。当用户单击更新按钮时,将下载Certificate_Update_v02.2020.exe。安装后,恶意软件将被传送到计算机。据研究人员称,网络犯罪分子已经感染了各种各样的网站,包括汽车零部件销售网站和动物园,以获取用户的大量客户数据。首次检测到感染是在2020年1月16日。如果您上网,则需要确保自己没有上当受骗。为了保护您自己,请确保您始终安装了受信任的防病毒软件,您的系统已更新到最新版本,并且您的浏览器配备了安全插件/扩展程序,可以扫描您访问的网站并发出警告。如果您仍然不确定,请使用合法的防病毒软件扫描可让您安装插件的恶意URL。
