一、摘要

• Proofpoint正在跟蹤多個不同的威脅集群，這些集群使用與虛假瀏覽器更新相關(guān)的類似主題；
• 虛假的瀏覽器更新通過受感染的網(wǎng)站和針對用戶瀏覽器定制的誘餌，來濫用最終用戶的信任，以使更新合法化并欺騙用戶點(diǎn)擊；
• 威脅只存在于瀏覽器中，并且可以通過點(diǎn)擊合法和預(yù)期的電子郵件、社交媒體網(wǎng)站、搜索引擎，甚至只是導(dǎo)航到受感染的網(wǎng)站來觸發(fā)；
• 不同的活動使用的誘餌相似，但有效載荷卻截然不同。識別威脅屬于哪個活動和惡意軟件集群對于指導(dǎo)防御者的響應(yīng)至關(guān)重要。

二、概述

Proofpoint目前正在追蹤至少四個不同的威脅集群，它們使用虛假的瀏覽器更新來傳播惡意軟件。虛假瀏覽器更新指的是通過受感染的網(wǎng)站和針對用戶瀏覽器定制的誘餌，顯示來自瀏覽器開發(fā)商（如Chrome、Firefox或Edge）的通知，告知其瀏覽器軟件需要更新。當(dāng)用戶點(diǎn)擊鏈接時，他們下載的不是合法的瀏覽器更新，而是有害的惡意軟件。

研究顯示，過去5年來，TA569一直在使用虛假瀏覽器更新來傳播SocGholish惡意軟件，但最近，其他威脅參與者也紛紛開始復(fù)制這種誘餌主題。每個威脅參與者都使用自己的方法來提供誘餌和有效載荷，但主題都利用了相同的社會工程策略。虛假瀏覽器更新的濫用是非常獨(dú)特的存在，因為它濫用了最終用戶對瀏覽器及其訪問的已知網(wǎng)站的信任。

控制虛假瀏覽器更新的威脅行為者使用JavaScript或HTML注入代碼將流量引導(dǎo)到他們控制的域，這就會導(dǎo)致特定于潛在受害者使用的web瀏覽器的瀏覽器更新誘餌覆蓋原始網(wǎng)頁。然后，惡意負(fù)載將自動下載，或者用戶將收到下載“瀏覽器更新”的提示，進(jìn)而加載惡意負(fù)載。

三、虛假瀏覽器更新誘餌和有效性

虛假瀏覽器更新誘餌之所以有效，是因為威脅行為者正在利用終端用戶的安全培訓(xùn)來對付它們。在安全意識培訓(xùn)中，用戶被告知只接受更新或點(diǎn)擊來自更新或點(diǎn)擊已知和可信站點(diǎn)或個人的鏈接，并驗證站點(diǎn)是合法的。虛假的瀏覽器更新正是濫用了這一點(diǎn)，因為他們破壞了受信任的網(wǎng)站，并使用JavaScript請求在后臺悄悄地進(jìn)行檢查，并用瀏覽器更新誘餌覆蓋原始網(wǎng)站。對于終端用戶來說，它看起來仍是他們打算訪問的同一個網(wǎng)站，而這個“合法”網(wǎng)站正在要求他們更新瀏覽器。

Proofpoint還沒有識別出直接發(fā)送包含惡意鏈接的電子郵件的威脅行為者，但是，由于威脅的性質(zhì)，可以通過各種方式在電子郵件流量中觀察到受損的URL。它們可能出現(xiàn)在不知道網(wǎng)站被黑的普通終端用戶的正常電子郵件流量中，可能出現(xiàn)在谷歌警報等監(jiān)控電子郵件中，或者出現(xiàn)在分發(fā)新聞通訊等大規(guī)模自動電子郵件活動中。

組織不應(yīng)將虛假瀏覽器更新威脅僅視為電子郵件問題，因為最終用戶可以從其他來源訪問該網(wǎng)站，例如搜索引擎、社交媒體網(wǎng)站，或者直接導(dǎo)航到該網(wǎng)站并接收誘餌并可能下載惡意負(fù)載。

值得一提的是，每個活動都過濾了流量，以盡可能地逃避檢測并延緩發(fā)現(xiàn)。雖然這可能會減少惡意有效載荷的潛在傳播，但它使攻擊者能夠在更長的時間內(nèi)保持對受感染站點(diǎn)的訪問。這可能會使響應(yīng)復(fù)雜化，因為隨著多個活動和不斷變化的有效載荷，響應(yīng)者必須花時間弄清楚他們需要尋找什么，并在下載時確定相關(guān)的妥協(xié)指標(biāo)（IoC）。

四、威脅集群

目前的情況包括四種不同的威脅集群，這些集群都使用了獨(dú)特的活動來提供虛假的瀏覽器更新誘餌。由于誘餌和攻擊鏈的相似性，一些公開報告錯誤地將這些活動歸因于相同的威脅集群?；赑roofpoint獨(dú)特的可見性，Proofpoint研究人員能夠?qū)⑺鼈兎纸獬筛?xì)粒度的集群。

Proofpoint的研究側(cè)重于假瀏覽器更新整體場景，為防御者提供有關(guān)如何識別每個獨(dú)特活動的詳細(xì)信息，以及其他Proofpoint或第三方報告的附加鏈接，其中包含深入的研究和分析。例如，Malwarebytes的Jér?me Segura在GitHub上提供了一個很好的資源，展示了每個活動用作誘餌的一些圖像。

每個活動都有一些共同的特征，這些特征可以被描述為活動的三個不同階段。“階段1”是對合法但已被攻破的網(wǎng)站進(jìn)行惡意注入?！半A段2”指的是進(jìn)出惡意行為者控制域的流量，該域執(zhí)行大部分過濾并承載誘餌和惡意負(fù)載?！半A段3”是下載后負(fù)載在主機(jī)上的執(zhí)行。

1.SocGholish

當(dāng)談及虛假瀏覽器更新誘餌時，便不得不提SocGholish。Proofpoint研究人員通常將SocGholish的攻擊歸咎于一個名為TA569的威脅行為者。Proofpoint觀察到TA569還充當(dāng)了其他威脅參與者的分發(fā)者。

目前，TA569正在使用三種不同的方法將流量從受感染的網(wǎng)站引導(dǎo)到由威脅行為者控制的域。

第一種方法是利用Keitaro流量分配系統(tǒng)（TDS）通過各種參與者控制域進(jìn)行注入。這些域?qū)⒃诼酚傻诫A段2域之前過濾掉一些請求。大多數(shù)指向Keitaro TDS URL的注入將在同一個文件中包含多個不同的重定向域，如下面的圖2所示。

TA569使用的第二種方法是Parrot TDS（也稱為NDSW/NDSX），用于混淆注入的代碼，并在將請求路由到階段2域之前應(yīng)用類似的過濾。受感染的網(wǎng)站可能包含多達(dá)10個惡意JavaScript文件，這些文件都包含Parrot TDS注入，從而觸發(fā)SocGholish有效負(fù)載。

TA569使用的第三種方法是在受損網(wǎng)站的HTML中發(fā)送一個簡單的JavaScript異步（asynchronous）腳本請求，該請求可以到達(dá)階段2域。

由于注入的種類繁多，防御者很難識別惡意注入的位置，并且由于過濾的不同階段，很難復(fù)制流量。

這些方法中的每一種都會到達(dá)一個階段2域，該域會進(jìn)行額外的過濾，并將虛假的瀏覽器更新誘餌和有效負(fù)載傳遞給通過過濾的流量。有效負(fù)載可以是一個普通的JavaScript（.js）文件，通常命名為“Update.js”，也可以是一個壓縮的JavaScript文件。如果負(fù)載由用戶執(zhí)行，它將首先通過wscript對主機(jī)進(jìn)行指紋識別。根據(jù)指紋識別的結(jié)果，JavaScript要么退出，要么加載遠(yuǎn)程訪問木馬（RAT），要么等待來自威脅參與者的進(jìn)一步命令，據(jù)報道，這將導(dǎo)致Cobalt Strike或BLISTER Loader。

【圖1：欺騙用戶進(jìn)行Chrome更新的SocGholish虛假更新誘餌】

【圖2：Keitaro TDS注入示例】

【圖3：Parrot（NDSW）注入示例】

【圖4：異步注入示例】

2.RogueRaticate / FakeSG

研究人員發(fā)現(xiàn)的第二個虛假瀏覽器更新被稱為“RogueRaticate”或“FakeSG”。Proofpoint在2023年5月首次發(fā)現(xiàn)了這一活動，第三方研究人員將其稱為現(xiàn)有的大量SocGholish活動的副本。這種活動可能早在2022年11月就已在野活躍了。目前，Proofpoint并沒有將RogueRaticate的活動歸因于被追蹤到的任意威脅行為者，而且它一直與SocGholish的活動有明顯的區(qū)別。

RogueRaticate將嚴(yán)重混淆的JavaScript代碼注入到階段1網(wǎng)站上現(xiàn)有的JavaScript文件中。注入的JavaScript到達(dá)了階段2域。階段2域托管一個Keitaro TDS，它會過濾掉不需要的請求，并在JSON響應(yīng)中使用空白的“body”值進(jìn)行響應(yīng)。當(dāng)它確定一個目標(biāo)來接收誘餌時，它會在“body”值中發(fā)送編碼的雙Base64誘餌。誘餌包含一個按鈕，如果按下這個按鈕，它會使用HTML href屬性從一個單獨(dú)的受感染站點(diǎn)（通常托管在WordPress上）下載有效載荷。

RogueRaticate活動的虛假更新有效負(fù)載總是涉及HTML應(yīng)用程序（.hta）文件。該HTA文件要么被壓縮，要么通過指向.lnk的快捷方式（.url）文件下載。.hta文件通常通過承載惡意負(fù)載的同一階段2域?qū)阂釴etSupport RAT負(fù)載加載到主機(jī)上。

【圖5：欺騙用戶進(jìn)行Chrome更新的RogueRaticate虛假更新誘餌示例】

【圖6：RogueRaticate注入示例】

3.ZPHP / SmartApeSG

Proofpoint在2023年6月首次發(fā)現(xiàn)了導(dǎo)致NetSupport RAT的另一個新的虛假更新活動集群。Trellix于2023年8月首次公開報道了該活動。該活動在公開文檔中被Proofpoint或SmartApeSG稱為“ZPHP”。注入是一個簡單的腳本對象，它被添加到受感染網(wǎng)站的HTML代碼中。它向階段2域中的“/cdn/wds.min.php”或“/cdn-js/wds.min.php”發(fā)出異步請求。響應(yīng)是嚴(yán)重混淆的JavaScript代碼，它將嘗試創(chuàng)建iframe并向“/zwewmrqqgqnaww.php?reqtime=<epoch time>”發(fā)出第二個請求，這似乎過濾掉了不需要的請求，并將瀏覽器更新提示返回給未過濾的請求。負(fù)載通過base64編碼的zip文件下載。

壓縮后的瀏覽器更新有效載荷通常包含一個JavaScript（.js）文件，該文件會將惡意NetSupport RAT有效載荷加載到主機(jī)上。Proofpoint還發(fā)現(xiàn).zip包含一個可執(zhí)行文件（.exe），用于加載Lumma Stealer。

【圖7：欺騙用戶進(jìn)行Chrome更新的ZPHP誘餌】

【圖8：ZPHP注入示例】

Proofpoint目前沒有將ZPHP活動歸因于任何已識別的威脅參與者。

4.ClearFake

2023年8月，第三方研究人員發(fā)布了名為“ClearFake”的虛假瀏覽器更新威脅活動的詳細(xì)信息。Proofpoint隨后也確定了與該群集相關(guān)的一致活動。分析發(fā)現(xiàn)，其注入是將base64編碼的腳本添加到受感染網(wǎng)頁的HTML中。Proofpoint觀察到注入指向各種服務(wù)，包括Cloudflare Workers，一個托管在演員GitHub上的文件，以及最近被稱為幣安智能鏈（Binance Smart Chain）的區(qū)塊鏈網(wǎng)絡(luò)。初始請求將流量定向到承載Keitaro TDS過濾服務(wù)以過濾請求的階段2域。參與者使用新注冊的階段2域，如果訪問者通過了過濾，則該階段域?qū)?chuàng)建托管在階段2域中的虛假更新誘餌的iFrame。點(diǎn)擊更新按鈕將導(dǎo)致在Dropbox和OneDrive上觀察到的有效載荷的下載。

觀察到的有效載荷是可執(zhí)行文件（有時是壓縮的）、.msi和.msix，用于觸發(fā)各種竊取程序（包括Lumma、Redline和Raccoon v2）的安裝。

【圖9：欺騙用戶進(jìn)行Chrome更新的ClearFake誘餌】

【圖10：ClearFake注入示例】

值得注意的是，Proofpoint已經(jīng)觀察到ClearFake以某些語言顯示虛假更新誘餌，以匹配瀏覽器的設(shè)置語言，包括法語、德語、西班牙語和葡萄牙語。Proofpoint暫未將ClearFake活動歸因于任何已識別的威脅參與者。

五、結(jié)語

Proofpoint觀察到，使用虛假瀏覽器更新來傳遞各種惡意軟件（包括有效載荷）的威脅活動有所增加。SocGholish和TA569已經(jīng)證明，通過破壞易受攻擊的網(wǎng)站來顯示虛假的瀏覽器更新是惡意軟件傳播的一種可行方法，新的攻擊者已經(jīng)從TA569中吸取了經(jīng)驗，并開始以自己的方式應(yīng)用這種誘餌。

本報告中詳細(xì)描述的活動對于安全團(tuán)隊來說很難檢測和預(yù)防，最好的緩解辦法是縱深防御。組織應(yīng)該有適當(dāng)?shù)木W(wǎng)絡(luò)檢測（包括使用新興威脅規(guī)則集）并使用端點(diǎn)保護(hù)。此外，組織應(yīng)該培訓(xùn)用戶識別活動并向其安全團(tuán)隊報告可疑活動。這是非常具體的培訓(xùn)，但可以很容易地集成到現(xiàn)有的用戶培訓(xùn)計劃。