黑客组织用虚假浏览器和Flash更新消息传播恶意软件Kovter

近日，网络安全公司Proofpoint（PFPT）的研究人员发现一个代号为“KovCoreG”的黑客组织长期在使用虚假的浏览器或Flash更新提醒消息来诱骗受害者安装恶意软件Kovter。

借助恶意广告传播恶意软件

该组织在PornHub（一个色情影片分享网站）上通过恶意广告将受害者重定向到“紧急更新”的钓鱼网站页面。根据受害者使用的浏览器不同，受害者会收到不同内容的更新提醒消息。

例如，使用 Chrome浏览器和Firefox浏览器的受害者将收到要求下载浏览器更新的提醒消息，而使用IE浏览器和Edge浏览器的受害者收到的则是要求下载Flash更新的提醒消息。

当然，如果受害者点击了“更新按钮”是不可能得到正确的更新的。相反，得到的文件是安装恶意软件Kovter的JavaScript（Chrome，Firefox）或HTA（IE，Edge）文件。

功能多样性的恶意软件

Kovter是目前发现的最先进的恶意软件家族。它包含了复杂的功能，如文件不用落盘，拥有只创建一个注册表键值就可以感染系统的能力，这让很多反病毒产品很难探测到它。

另外，Kovter采用rootkit功能来进一步隐藏自身的存在，并会积极的识别和关闭安全解决方案。

Kovter首次出现是在2015年，一直被用作其他恶意软件家族的下载者，一个负责偷取个人信息的工具，一个用于获得系统访问权的后门。

然而在2016年，Kovter开始被用作广告欺诈恶意软件。这种恶意软件可以被用于劫持系统，并使用它去访问网站、点击广告，这是为了在广告竞价活动（被称为点击劫持）中创造更多的点击量。

英国、美国、加拿大、澳大利亚成主要受灾区

Proofpoint的研究人员在发现这个恶意广告活动后及时通知了Pornhub和Traffic Junky（一家美国广告商）。这两家公司也在接到通知后，选择了介入以及关闭了诸如此类的恶意广告。

研究人员还发现，KovCoreG组织使用了ISP和Geofilters滤镜（地理位置滤镜）来筛选出他

们想要攻击的目标。如果计算机的IP地址没有通过相同的ISP和Geofilters滤镜，则下载的文件（JavaScript或者HTA文件）将不会在计算机上执行。

目前，PornHub恶意广告系列主要针对美国、英国、加拿大和澳大利亚的用户。