CEIDPageLock Rootkit劫持Web浏览器

  • A+
所属分类:网络安全新闻
阿里代金券


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

CEIDPageLock Rootkit劫持Web浏览器

在过去几周内通过RIG漏洞利用工具包分发的新rootkit可以操纵Web浏览器,还包含复杂的防御机制。

这个恶意软件被称为CEIDPageLock ,最初是在几个月前发现的,当时它试图修改受害者浏览器的主页。rootkit目前正试图将受害者浏览器的主页变成假冒中文网站目录的网站。

除了这些复杂的功能之外,最新版本的恶意软件还可以监控用户浏览,当用户尝试访问多个热门的中文网站时,它会动态地用假主页替换这些网站的内容。

Check Point 解释说: “像CEIDPageLock这样的恶意软件所使用的浏览器劫持可以获利,因为通过将受害者重定向到与推荐人分享广告收入的搜索引擎而获得的收入。”

恶意软件的运营商还使用一系列劫持技巧来收集受害者浏览习惯的数据,例如监控访问过的网站,这些网站可用于自己的广告活动或出售给其他公司。

感染期间使用滴管来提取经过数字签名的32位内核模式驱动程序。证书由Thawte发布,但已被撤销。注册并启动驱动程序后,dropper会发送受感染机器的MAC地址和用户ID。

该驱动程序在启动期间启动,并且保持相当隐蔽,能够躲避防病毒解决方案。它被设计为连接到其中硬编码的两个命令和控制(C&C)域之一,并下载主页配置以篡改浏览器。

Check Point指出,较新版本的恶意软件也包含VMProtect,因此难以进行分析和解包,特别是因为它也是内核模式驱动程序。

迭代还包括“重定向”功能,以便在受害者尝试访问目标站点时将其发送到虚假主页。rootkit还会检查每个传出HTTP消息的特定字符串,并在遇到字符串时将该过程添加到重定向列表。

该恶意软件还阻止浏览器访问一系列防病毒文件,并包括在安全产品中创建注册表项的功能。

Check Point表示,绝大多数CEIDPageLock的目标都位于中国,在国外的感染数量可以忽略不计。

“乍一看,编写一个充当浏览器劫持程序并采用VMProtect等复杂保护措施的rootkit可能看起来有些过分。然而,似乎这种简单的恶意技术可能非常有利可图,因此攻击者认为投资为它构建一个隐秘且持久的工具是值得的,“安全公司指出。

此外,恶意软件还能够在受感染的设备上执行代码。Check Point总结说,再加上它从内核及其持久性机制运行这一事实,CEIDPageLock是“一个潜在的完美后门”。

CE安全网

发表评论

您必须登录才能发表评论!