攻击者通过伪造软件更新通知的方式传播恶意软件

2019年10月1日,美国网络安全公司FireEye发布报告称发现近期有不明来源的攻击者通过向用户推送伪造的软件更新通知传播恶意软件的攻击活动。该攻击活动至少从2019年5月开始,攻击者采用向用户推送假的更新通知(FakeUpdates)的方式,诱使用户点击安装Dridex或NetSupport等恶意软件,最终实现传播BitPaymer或DoppelPaymer勒索软件的目的。 在此次攻击活动中,攻击者首先完成复杂的浏览器验证,在遭到入侵的网站页面中注入代码,使用硬编码的方式将用户导航到恶意网站,收集受害者浏览器信息后,执行重定向,并提示用户下载虚假的浏览器更新。攻击者还采用了对抗分析的措施,干扰沙盒检测和对受感染网站进行事后分析,为分析过程增加难度。据安全分析人员称,2018年4月,曾发现过利用FakeUpdates方式传播恶意软件的攻击事件。攻击者将木马程序伪装成Chrome,Internet Explorer,Opera和Firefox浏览器的更新程序,攻击者通过HTTP重定向或使用“水坑攻击”的方式,使受害者访问已被感染的网站,下载伪装好的恶意软件,此次事件与近期发生的攻击事件极为相似。