恶意软件假冒合法软件骗取用户上钩时有耳闻,像是谎称成新版浏览器或新版Adobe Flash Player,让访问被黑网站的用户不疑有他下载。安全厂商卡巴斯基发现又有新招,有后门及木马程序假冒网站凭证过期的通知消息,诱使访客点击下载。
网页SSL/TLS凭证是由凭证机构(CA)签发,可验证网站身份不是钓鱼网站,以及在用户浏览器和网页服务器之间创建加密连接以确保信息的隐私性。因此SSL/TLS凭证是安全上网的关键,而激活SSL/TLS凭证的网站,就会显示HTTPS为开头的网址,Chrome、Firefox、Safari、Edge等浏览器,都已默认不支持HTTP的网站。
但最近卡巴斯基发现有黑客滥用此类凭证传播后门程序。用户连进被黑网站后,网页显示“安全凭证过期”的警告消息,告知需要更新网页凭证才能继续浏览,并以按钮引导用户下载。卡巴斯基侦测,此类攻击最早出现于今年1月16日,现今已出现于多种主题网站上,从动物园到汽车零件经销商等。
研究人员分析,网站凭证过期的通知消息,并不是用户访问网站的实际内容,而是包在iFrame的页面,以jquery.js script复加在合法网站上。恶意网页内容则是由第三方C&C网站ldfidfa “.” pw加载。但从网址列来看则仍然显示为合法网址。但如果用户点入,就会从恶意网站上加载名为Certificate_Update_v02.2020 .exe的文件,它其实是一个恶意shellcode,一经执行就会发布木马程序Buerak。另一种后门程序Mokes,在1月间也是用同样方式传播。
卡巴斯基指出,Buerak进入Windows计算机后会执行程序、修改程序行程、窃取数据、还会经由机码潜伏在计算机中。而Mokes则是macOS/Windows后门程序,可执行程序代码、窃取数据或影音文件,并偷偷进行截屏。
SSL凭证最近也成为安全关注焦点。免费凭证发行机构Let’s Encrypt发现,它所使用的凭证机构软件有bug,导致误发凭证,得撤销3百万个TLS/SSL凭证。另外,苹果、Mozilla和Google也认为凭证有效期太长不安全,因而计划将缩短支持的SSL/TLS凭证有效期,这可能迫使网站更频繁更新凭证。