中国用户遭SEO定向投毒攻击:HiddenGh0st、Winos与kkRAT恶意软件滥用GitHub Pages
💡
原文中文,约2800字,阅读约需7分钟。
📝
内容提要
Fortinet发现中文用户成为SEO投毒攻击的目标,攻击者通过伪造软件下载网站传播恶意软件,如HiddenGh0st和Winos,操控搜索结果诱骗用户下载。Zscaler也发现kkRAT恶意软件,具备全面监控能力,包括剪贴板劫持和远程控制。
🎯
关键要点
- Fortinet发现中文用户成为SEO投毒攻击的目标,攻击者通过伪造软件下载网站传播恶意软件。
- 攻击者使用SEO插件操纵搜索结果,并注册与正规软件网站相似的仿冒域名,诱骗用户下载恶意软件。
- 恶意软件包括HiddenGh0st和Winos,后者与网络犯罪组织Silver Fox有关。
- 攻击链通过虚假网站和木马化的安装程序投放恶意软件,使用名为nice.js的脚本控制投放流程。
- 恶意软件具备多项反分析检查,能够规避检测并建立持久性。
- Zscaler发现kkRAT恶意软件,具备全面监控能力,包括剪贴板劫持和远程控制。
- kkRAT与Gh0st RAT存在代码相似性,采用加密通信协议,功能包括替换剪贴板中的加密货币地址。
- 攻击者通过仿冒流行软件的虚假安装页面投放木马,利用GitHub Pages滥用合法平台的信任。
- kkRAT使用自带漏洞驱动(BYOVD)技术,解除主机安装的安全软件防护。
- kkRAT的最终载荷支持多种插件执行数据收集任务,包括屏幕捕获、远程命令执行和网络流量中继。
➡️
