Check Point
為了提高散布惡意軟體的效率,攻擊者已不再採取無差別投放惡意連結的方式,而開始透過流量分發系統(Traffic Distribution System,TDS)篩選攻擊目標,資安業者Check Point近日揭露這類型的大規模攻擊活動,駭客同時結合偽冒下載網站、點擊劫持(Click Hijacking),以及流量分發系統,企圖藉此提高攻擊成功率。
研究人員發現,攻擊者仿冒Ghidra、dnSpy與SpiderFoot等開源資安工具的下載網站,並結合點擊劫持手法來誤導造訪這些網站的使用者,當使用者將滑鼠移動到下載按鈕上時,會顯示該工具的合法下載位址,但實際點選後,則會被JavaScript中介層重新導向到TDS。接著TDS會透過一系列存取控制措施,包括:首次造訪狀態(first-visit state)、強制點擊確認(mandatory click confirmation)、反機器人/反分析邏輯(anti-bot/anti-analysis logic)、VPN/資料中心過濾以及流量頻率限制等,藉此篩選攻擊目標,並將受害者引導到不同位置並散布惡意軟體。
Check Point指出,攻擊者會透過TDS的篩選,向受害者散布幾種不同的惡意軟體,包括:用於載入惡意應用程式的多階段載入工具SessionGate,新型瀏覽器竊資軟體Remus Stealer,以及加密貨幣剪貼簿竄改程式(cryptocurrency clipper)AnimateClipper。特別的是,攻擊者還在TDS中引進多重的重新定向機制,當受害者從相同IP位址重複連結TDS時,並非每次都會下載惡意軟體,有時會被引導下載合法的正常軟體,藉此降低惡意行為遭發現的機率。
除了Check Point揭露的這個案例外,我們先前也報導過資安公司Silent Push揭露的另一個濫用TDS案例,攻擊者透過TDS分析受害者類型,再決定採用FakeUpdates或ClickFix手法來誘導受害者。這些案例也顯示,攻擊者散布惡意軟體時,已越來越講求更精準的篩選受害目標。
