網(wǎng)絡(luò)罪犯分子一直在嘗試一種新的分發(fā)惡意軟件的方法：通過含有指向惡意軟件的“安裝(推薦)”按鈕的過期安全證書虛假警報(bào)。

這一計(jì)劃背后的惡意軟件運(yùn)營者顯然是指望用戶不知道安全證書是什么，也不了解安全證書的更新情況，于是利用了用戶希望保持網(wǎng)絡(luò)安全的心理。

方案

卡巴斯基實(shí)驗(yàn)室的研究人員表示，這些惡意警報(bào)已經(jīng)出現(xiàn)在許多受感染的、主題不同的網(wǎng)站上被發(fā)現(xiàn)，而最早的感染可追溯到2020年1月16日。

欺騙性通知以覆蓋的iframe形式傳遞，該iframe從第三方來源加載內(nèi)容。事實(shí)上，瀏覽器的地址欄顯示了受感染站點(diǎn)的URL，即使顯示了假警報(bào)，也會讓警告看起來是合法的。

如果用戶上當(dāng)并點(diǎn)擊“安裝(推薦)”按鈕，就會收到惡意軟件。在過去的攻擊中，這可能是下載型木馬Buerak或者M(jìn)okes后門，但在以后的攻擊中，任何類型的惡意軟件都可以進(jìn)行分發(fā)。

舊技巧的新玩法

惡意軟件運(yùn)營者多年來一直在使用虛假警報(bào)來促使用戶下載特定版本的、廣泛使用的某個軟件(例如Adobe Flash Player、Google Chrome)的新版本，而利用過時(shí)安全證書的警報(bào)其實(shí)只是一個很老的技巧，做了點(diǎn)新花樣。

近期用戶看到安全證書相關(guān)警報(bào)的頻次相比平時(shí)會更高，這和Let’s Encrypt將從3月4日起會撤銷近300萬個TLS證書有關(guān)，惡意軟件分發(fā)者利用這個時(shí)機(jī)在積極活動。