概述

最近，我们发现了一个恶意广告软件注入脚本，该脚本可以将伪造的浏览器更新提示推送给网站访问者。

下面是典型的伪造更新请求的示例，黑客在网站上伪造了Firefox的更新中心消息并显示：

用户将会看到一个消息框，指出这是用户浏览器所对应的“更新中心”。我使用的是Firefox，但同时还有Chrome、Internet Explorer和Edge浏览器对应的提示消息框。

在该消息中显示：“由于浏览器使用了过期版本，导致发生验证错误。需要用户尽快更新浏览器”。为了加强“严重错误”的这一误导，恶意软件还会在后台显示出一些乱码的文本内容。

恶意软件提示下载并安装更新，以避免“丢失个人数据和存储的数据，发生机密信息泄露和浏览器错误”。该下载链接指向的是某个被攻陷的第三方站点上的exe和zip文件。大多数反病毒软件都可以有效检测到该Payload。

注入过程

经过研究，我们已经确定了利用上述手段在最近开展的几次大规模攻击。

黑客会对指向外部脚本的链接进行注入，或者将整个脚本代码注入到被入侵的网页上。

1. 外部Update.js脚本

以下是该广告系列使用的一些外部脚本链接示例：

· hxxps://wibeee.com[.]ua/wp-content/themes/wibeee/assets/css/update.js – 225个被感染的站点

· hxxp://kompleks-ohoroni.kiev[.]ua/wp-admin/css/colors/blue/update.js – 当前有54个受感染的站点

· hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update.js – 198个被感染的站点

在这些update.js文件中，都包含一个经过模糊处理后的脚本，用于创建虚假的浏览器更新覆盖窗口。在其中，还包含伪造更新文件的下载链接，例如：

var link_to_file='hxxp://kvintek.com[.]ua/templates/ja_edenite/admin/update_2018_02.browser-components.zip

使用VirusTotal进行排查，发现有14个反病毒软件将该文件标识为特洛伊木马。我们可以在该平台上找到一些与之类似的文件。

今年2月发现的kvintek[.]com.ua站点上的可疑URL：

在1月份发现的另一个下载链接是：hxxp://quoidevert[.]com/templates/shaper_newsplus/js/update_2018_01.exe 。

2. 内联脚本

在某些情况下，黑客并没有链接到外部脚本，而是在受感染网页的底部注入完整的恶意JavaScript代码。

在DLE网站上HTML代码底部注入的虚假更新代码：

注入的代码非常庞大，已经超过了90KB。为了隐藏这部分代码，攻击者增加了70多个空行，希望借此能让管理员在看到空屏幕后停止浏览后面的代码。

目前，我们看到有117个网站上存在此类恶意软件。

后来，攻击者改用注入上述外部链接的方式，可能是为了使注入的代码不再那么明显。但是，外部链接有一个明显的缺点，就是很容易将URL列入到黑名单之中。所以，攻击者后来又换回注入完整脚本的方法。并且，新版本的脚本显然更加轻量级，其大小小于30KB，并且不包含纯文本的下载链接。

最新版本的注入脚本如下图所示：

最新版本的恶意软件会在被攻陷的第三方网站上使用这些Payload链接：

· hxxp://alonhadat24h[.]vn/.well-known/acme-challenge/update_2018_02.browser-components.zip

· VirusTotal：https://www.virustotal.com/#/file/3cb58a30d8580235ece2ad13adc6f09dee7ead170e28a7939b0e8125b116f4e9/detection

· hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.browser-components.zip

· VirusTotal：https://www.virustotal.com/#/file/edb1b726f7c4f5f8e3ce1487a47ccedccf00fcfa958277abaa5860331bf41e4b/detection%2014%20/%2058

· hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.browser-components.zip

· VirusTotal：https://www.virustotal.com/#/file/f1b4bf9f9db29cad11633fb16dae3e8df0fc8edbdf295191ab93b90f612f58a5/detection

虚假JPG文件中的压缩包Zip和恶意软件

其中的ZIP文件非常小，大约只有3KB。对于真正的Windows恶意软件来说，这个大小显然还不够。因此，我的同事Peter Gramantik对压缩包文件进行了分析，发现实际上它们只包含一个.js文件，其名称如下：

“update_2019_02.browser-components                                                                                                    .js”

在文件名中，“components”后面包含100个空格字符，看起来像是攻击者使用了一些隐藏文件扩展名的技巧。

在这里的JavaScript文件是经过混淆的，它具有以下加密的关键字：

Open
Type
Write
ResponseBody
Position
Open
unknown
GetTempName
charAt
ADODB.Recordset
SaveToFile
cmd.exe /c
open
GET
send
hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg
hxxp://refkids[.]ir/wp-content/themes/nuovowp/assets/css/browser.jpg
Scripting.FileSystemObject
ADODB.Stream
Status
Close
Wscript.Shell
deleteFile

在分析过程中，我们很容易看到代码使用Windows脚本宿主功能下载外部文件，执行这些外部文件，然后删除。

在这种情况下，脚本会尝试从被攻陷的第三方站点下载browser.jpg文件。但是，我们不能被看似良性的.jpg扩展名而迷惑。该文件实际上是使用“cmd.exe /c <downloaded_file>”命令启动的Windows可执行文件（.exe）。

该Shell脚本的最新版本使用以下URL作为下载链接：

hxxp://giasuducviet[.]vn/administrator/backups/browser.jpg
hxxp://farsinvestco[.]ir/wp-content/themes/consulto-thecreo/languages/browser.jpg

经过使用VirusTotal进行扫描，发现上述虚假.jpg文件中包含勒索软件。

检测Browser.jpg，发现存在勒索软件：

Android版本

最新版本的虚假浏览器恶意软件也存在针对Android的Payload：

var sAndroidUrl='hxxp://viettellamdong[.]vn/templates/jm-business-marketing/images/icons/update_2019_02.apk'

备用URL为：hxxp://sdosm[.]vn/templates/beez_20/images/_notes/update_2019_02.apk

通过VirusTotal平台，对该APK文件进行检测，结果显示该文件属于银行恶意软件，非常类似于该广告系列（https://blog.sucuri.net/2019/02/hackers-use-fake-google-recaptcha-to-cloak-banking-malware.html）承载的恶意软件。

适用于Android的银行恶意软件：

Histats

为了跟踪用户的活动，黑客将Histats脚本包含在其恶意软件的所有版本中。此时，他们使用以下两个Histats ID：

4209412 – 495个被感染站点

4214393 – 1070个被感染站点

典型的Histats注入如下所示，虚假浏览器更新恶意软件注入的历史脚本：

2018与2019年对比

通过开展一些仔细的观察，我们就可以发现攻击者心态出现的有趣变化。大家可能已经注意到，该广告系列恶意软件使用的下载文件名称中包含日期，例如：2018_01、2018_02和2019_02等等。文件名称类似于：update_2018_02.browser-components.zip，或update_2018_01.exe。

被感染的网站

尽管大部分被感染的网站都是由WordPress提供支持的，但我们也会看到，许多被攻击的网站使用的是其他CMS（例如：Data Life Engine），或者根本没有使用CMS。

在使用WordPress平台的情况下，黑客会在活动主题的footer.php文件最后面注入恶意脚本。

总结

该恶意活动展示了攻击者会如何在攻击的各个阶段对被攻击的网站进行利用。他们利用的方式既包括将脚本注入到合法网页上，也包括托管恶意二进制文件下载。

尽管外部扫描器可以轻松检测到第一种类型的感染，但第二种类型（恶意下载）的检测就变得复杂了很多，如果不访问服务，就很难检测到。在这种情况下，各类反病毒软件的黑名单功能可能会有所帮助，反病毒软件客户端会检查恶意下载的来源。而这也就是我们的网站扫描器之所以包含来自9个不同安全黑名单数据的原因，当然其中也包含我们自己的黑名单。

服务器端扫描程序可以检测更为广泛的网站感染。Sucuri网站安全平台将提供持续的恶意软件监控，用户可以每天收到有关网站安全状况

如果有任何用户认为自己的网站遭到入侵，请与我们取得联系，我们将很愿意为用户提供帮助。

本文翻译自：https://blog.sucuri.net/2019/02/fake-browser-updates-push-ransomware-and-bank-malware.html?utm_source=Twitter&utm_medium=Social&utm_campaign=Blog&utm_term=EN&utm_content=Fake-Browser-Updates-Push-Ransomware-and-Bank-Malware

翻译作者：41yf1sh 原文地址：https://www.4hou.com/typ/16540.html