关键词
Huntress 的研究人员在看似普通广告软件中,发现了一个复杂的潜在威胁。研究显示,只需 10 美元就能买到的一个未注册域名,竟可让恶意行为者悄然控制全球超过 2.5 万个受感染终端。
此次调查的核心软件由 Dragon Boss Solutions 签名,该公司自称是一家位于阿联酋的搜索盈利化研究公司。
长期以来,这款软件被归类为具有浏览器劫持能力的潜在不受欢迎程序(PUP)。但 Huntress 研究人员分析发现,它已悄然演变成一种更为危险的程序。
从 2025 年 3 月开始,Huntress 分析师观察到,该软件会部署基于 PowerShell 的有效载荷,以提升的权限运行,禁用网络安全产品,封锁其更新服务器,并阻止重新安装。
这款恶意软件通过五项计划任务和 WMI 事件订阅实现持久化,即便系统重启也能留存。它还会为未来用于部署有效载荷(可能包括加密货币挖矿程序、勒索软件或信息窃取程序)的目录添加 Windows Defender 排除项。
最令人担忧的发现来自该软件的更新配置。用于交付有效载荷更新的主域名(chromsterabrowser [.] com)未注册。由于受感染机器上的杀毒保护已被禁用,任何人购买该域名,都能向每个受影响主机发送任意代码,无需进行额外的漏洞利用。
Huntress 赶在其他人之前注册了该域名,并将其指向一个陷阱域名,然后监测结果。大约有 2.5 万个独特 IP 地址(代表生产环境中正在寻求更新指令的真实终端)试图连接该域名。
感染范围覆盖 124 个国家,其中美国受感染主机超过 1.2 万台,其次是法国、加拿大、英国和德国,各有约 2000 台。
高价值目标的受感染规模尤其令人担忧。在观察到的受感染主机中,有 324 台属于敏感网络,包括 221 所高校、41 个运营技术(OT)网络、35 个政府机构和 3 家医疗保健组织。
被识别出的 OT 网络涉及电力公用事业公司、运输供应商、电力合作社及关键基础设施。受影响网络中还包括多家财富 500 强公司。
Huntress 敦促各组织搜寻入侵指标(IoCs),以检测此次攻击活动可能带来的潜在影响。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴