Proofpoint的网络安全研究人员发现,利用虚假浏览器更新来传播恶意软件的威胁活动呈上升趋势。
至少有四种不同的威胁集群利用这种欺骗策略被跟踪。假冒浏览器更新是指被入侵的网站,它们会显示假冒的通知,模仿Chrome、Firefox或Edge等流行浏览器,引诱用户下载恶意软件,而不是合法的更新。
在发布的一份报告中,Proofpoint表示,威胁行为者TA569在过去的五年里一直在使用虚假的浏览器更新来传播SocGholish恶意软件。最近,其他威胁行为者也采用了这种策略。
这些威胁使用JavaScript或html注入代码渗透网站,将流量引导到他们控制的域,并自动下载恶意有效载荷。
Proofpoint安全研究员Dusty Miller解释说:“虚假浏览器更新的成功在于利用用户对已知和安全站点的信任,从而绕过安全意识培训。”
在各种电子邮件流量源(包括常规电子邮件和监控警报)中都可以找到受感染的URL。这些威胁不仅限于电子邮件,用户还会在搜索引擎、社交媒体或直接访问网站时遇到它们。
每个威胁活动采用独特的方法来过滤流量,使检测具有挑战性。这些攻击包括三个阶段,分别是在被入侵的网站上注入病毒,到行动者控制域的流量,以及在用户设备上的有效载荷执行。
Proofpoint将SocGholish归因于TA569, TA569观察到威胁行为者使用各种方法将受感染网站的流量引导到其行为者控制的域名。
RogueRaticate/FakeSG是一种较新的威胁,它将混淆的JavaScript代码注入到stage 1网站中,并使用Keitaro TDS进行有效载荷交付。ZPHP/SmartApeSG利用异步请求,而ClearFake使用base64编码脚本并以不同的语言显示诱饵。
米勒警告说:“这些虚假的浏览器更新威胁强调了强有力的网络安全措施的必要性。”
建议中写道:“组织应该有适当的网络检测(包括使用新兴威胁规则集)并使用端点保护。此外,组织应该培训用户识别活动并向其安全团队报告可疑活动。这是非常具体的培训,但可以很容易地整合到现有的用户培训计划中。“
