网络安全公司NewSky Security的研究员Ankit Anubhav上周发现一美国政府网站存在一个恶意JavaScript下载器,可投放非常危险的 Cerber勒索软件 。
NewSky Security 公司的研究员 Ankit Anubhav 称 ,
“ 美国政府网站上存在的 JavaScript 恶意软件会启动 PowerShell 连接 C&C服务器。 ”
下载文件伪装为gif文件 实际是Cerber勒索软件
该网站提供.zip文件,该文件存在一个含有模糊化的PowerShell的JavaScript。PowerShell会下载一个.gif文件,实则为Cerber勒索软件的可执行文件。以下是该.zip文件的链接:
hxxp://dms(dot)nwcg(dot)gov/pipermail/ross-suggestion/attachments/20170304/9ee8a89e/attachment.zip
下载器在周三被发现,数小时之后恶意代码被移除。目前尚不清楚攻击者是如何在.gov网站上安装恶意代码的以及到底多少访客受到影响。
Anubhav认为该网站遭遇了入侵,或许该网站存储的政府官方邮件附件可能附带恶意软件。他强调指出这一情况与在年初Blank Slate垃圾邮件活动有相似性,那次活动中也传播了Cerber勒索软件。诈骗者在此次活动中利用了一个双重压缩文件,第二次的压缩文件附带恶意JavaScript文件或Microsoft Word文档。 SANS 的分析报告指出 ,
“ 有意思的是 , 此次活动中利用的文件附件是双重压缩的 , 即 ZIP 文件中还嵌套另一个 ZIP 文件。在嵌套的 ZIP 文件中 , 您会发现一份恶意的 JavaScript (.js) 文件或 Microsoft Word 文档。这些文件用于让计算机感染恶意软件。 ”
“Blank Slate 推送各种勒索软件 , 而此次活动中主要推送 Cerber勒索软件 。 ”
报告称攻击者利用美国政府网站的高信誉度传播勒索软件
Anubhav和来自西班牙电信运营商Telefonica的Mariano Palomo Villafranca联合发布分析报告称,享有盛誉的网站,如上述提及的存在恶意软件的美国政府网站,是诈骗者的高优先级攻击向量。 该分析报告称,
安全解决方案通常会将整个 IP 地址范围添加至黑名单 , 确保潜在目标不会遭遇此类攻击 ( 因为站点在用户访问前会被阻断 ) 。为了应对这一防护措施,攻击者专注于将恶意软件投放至合法位置,如 Google 文档或一般被认为或被证实为无恶意内容的正常网站。因此,对于攻击者来说非常理想情况就是在政府网站上投放恶意软件。
在一个攻击场景中,受害人会收到包含该.zip文件的页面的链接。一旦受害人点击了该链接,被模糊处理的JavaScript会被提取,启动PowerShell,导致从攻击者入侵的已知域名中下载恶意软件。
该分析报告指出,.gif可执行文件是一个NSIS安装程序,用于提取Cerber JSON文件配置。目前该链接已下线。然而,当我们分析归档数据时,我们发现该特定Payload为哈希值为“SHA256 1f15415da53df8a8e0197aa7e17e594d24ea6d7fbe80fe3bb4a5cd41bc8f09f6”的Cerber勒索软件。
原文发布时间:2017年9月5日
本文由:securityaffairs 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/us-gov-website-cerber