假瀏覽器更新被利用作為 BitRAT 和 Lumma Stealer 惡意軟件的傳遞機制,eSentire 的威脅響應小組(TRU)在 2024 年 5 月檢測到了這一點。
這些惡意軟件負載隱藏在 JavaScript 代碼中,并偽裝成 .png 文件,通過 PowerShell 腳本進行部署,突顯了用戶提高警惕和加強端點保護措施的必要性。
假瀏覽器更新已成為傳播惡意軟件的一種常見方法,正如 eSentire 的威脅響應小組(TRU)最近的發現所強調的那樣。2024 年 5 月,TRU 發現了假更新分發 BitRAT 和 Lumma Stealer 的實例,這兩種惡意軟件因其數據竊取能力而臭名昭著。
攻擊通常從用戶訪問包含惡意 JavaScript 代碼的受損網頁開始,該代碼會將用戶重定向到一個偽造的更新頁面,敦促他們從 Discord 的內容分發網絡(CDN)下載名為“Update.zip”的 Zip 存檔,這個存檔中包含一個 JavaScript 文件(Update.js),這是最初的下載器,在執行時獲取負載。
在執行 Update.js 后,會激活多個 PowerShell 腳本,這些腳本托管在一個已知的 BitRAT 命令與控制(C2)地址上,這些腳本有助于下載和執行后續負載,這些負載偽裝成具有各種功能的 .png 文件,包括加載、持久性和實際負載傳遞。
其中一個負載 BitRAT 擁有許多功能,如遠程桌面訪問和加密貨幣挖礦,另一個檢測到的負載 Lumma Stealer 專門竊取敏感數據,如加密貨幣錢包和瀏覽器擴展,作為一種服務式惡意軟件(Malware-as-a-Service)運行。
假更新作為傳遞渠道的使用,突顯了用戶對更新提示合法性保持警惕的必要性,實施強大的端點保護工具和開展安全意識培訓項目可以有效地減輕此類威脅。
