ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全新闻 → CEIDPageLock Rootkit劫持Web浏览器

CEIDPageLock Rootkit劫持Web浏览器

时间:2018-09-01 00:00:00人气:作者:本站作者我要评论

CEIDPageLock Rootkit劫持Web浏览器

在过去几周内通过RIG漏洞利用工具包分发的新rootkit可以操纵Web浏览器,还包含复杂的防御机制。

这个恶意软件被称为CEIDPageLock ,最初是在几个月前发现的,当时它试图修改受害者浏览器的主页。rootkit目前正试图将受害者浏览器的主页变成假冒中文网站目录的网站。

除了这些复杂的功能之外,最新版本的恶意软件还可以监控用户浏览,当用户尝试访问多个热门的中文网站时,它会动态地用假主页替换这些网站的内容。

Check Point 解释说: “像CEIDPageLock这样的恶意软件所使用的浏览器劫持可以获利,因为通过将受害者重定向到与推荐人分享广告收入的搜索引擎而获得的收入。”

恶意软件的运营商还使用一系列劫持技巧来收集受害者浏览习惯的数据,例如监控访问过的网站,这些网站可用于自己的广告活动或出售给其他公司。

感染期间使用滴管来提取经过数字签名的32位内核模式驱动程序。证书由Thawte发布,但已被撤销。注册并启动驱动程序后,dropper会发送受感染机器的MAC地址和用户ID。

该驱动程序在启动期间启动,并且保持相当隐蔽,能够躲避防病毒解决方案。它被设计为连接到其中硬编码的两个命令和控制(C&C)域之一,并下载主页配置以篡改浏览器。

Check Point指出,较新版本的恶意软件也包含VMProtect,因此难以进行分析和解包,特别是因为它也是内核模式驱动程序。

迭代还包括“重定向”功能,以便在受害者尝试访问目标站点时将其发送到虚假主页。rootkit还会检查每个传出HTTP消息的特定字符串,并在遇到字符串时将该过程添加到重定向列表。

该恶意软件还阻止浏览器访问一系列防病毒文件,并包括在安全产品中创建注册表项的功能。

Check Point表示,绝大多数CEIDPageLock的目标都位于中国,在国外的感染数量可以忽略不计。

“乍一看,编写一个充当浏览器劫持程序并采用VMProtect等复杂保护措施的rootkit可能看起来有些过分。然而,似乎这种简单的恶意技术可能非常有利可图,因此攻击者认为投资为它构建一个隐秘且持久的工具是值得的,“安全公司指出。

此外,恶意软件还能够在受感染的设备上执行代码。Check Point总结说,再加上它从内核及其持久性机制运行这一事实,CEIDPageLock是“一个潜在的完美后门”。

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网