1 |事件概述
2024年3月13日,来自Kaspersky的安全研究人员发现黑客正在使用Typosquatting攻击技术,面向中国用户通过搜索引擎或恶意广告来诱导用户下载与点击,实现恶意软件的分发或恶意软件植入。Typosquatting是一种社会工程攻击技术,也称作URL劫持、域名模仿、毒刺网站或虚假URL等,也是一种域名抢注的形式。这种域名劫持的方式通常有赖于用户在浏览器中输入网址时,犯下诸如错误拼写等错误。用户一旦不小心输入了一个错误的网址,便有可能被导向任何一个其他的网址(比如说一个域名抢注者运营的网站)。用户可能会被骗进这些虚假网站,输入敏感详细信息。对于被攻击者模仿的这些受害组织,这些网站可能会造成严重的声誉损害。攻击者往往会通过“恶意广告”来吸引受害者访问恶意网站是目前一种非常流行攻击方式。“恶意广告”被放置在搜索引擎结果的顶部,会更多的增加用户点击链接的可能性,同时,搜索引擎结果顶部的网站也往往是更容易受用户信任的网站。这一次,他们发现中国互联网上最受欢迎的搜索引擎之一的用户也受到了类似的威胁。他们在威胁跟踪中发现了两种文本编辑器的修改版本在该搜索引擎结果中分布的情况:第一种情况是恶意资源出现在广告部分;第二种情况是出现在搜索结果的顶部。不过目前他们还无法确定攻击者的所有细节,因此他们还将继续跟进分析并在稍后更新技术分析报告。
2 |攻击过程分析
图 1 搜索 notepad++ 的广告部分(左)和 vnote 的搜索结果(右)中的恶意链接
图 2 带有假Notepad++的页面
图 3 应用程序下载链接,链接到恶意Notepad--下载页面上的按钮
同时,以类似的方式,在VNote搜索中找到的两个试图模仿该程序的官方网站:
图 4 在VNote搜索中找到的两个试图模仿该程序的官方网站
图 5 应用程序下载链接,链接到虚假 VNote 网站上的按钮
3 |参考链接
https://securelist.com/trojanized-text-editor-apps/112167/
原文始发于微信公众号(白泽安全实验室):警惕!黑客利用使用虚假Notepad++和VNote安装程序针对中国用户展开攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论