PaleMoon 是一款基于Firefox(火狐)浏览器优化而成的浏览器,在国外相当热门,它主要是为了提升Firefox的速度而设计。但其中也添加了多种firefox扩展,以使其更美观,功能更多,也更适用于新手。
不过,Pale Moon团队今天宣布,他们的Windows存档服务器遭到攻击,黑客在12月27日用恶意软件Dropper感染了Pale Moon 27.6.2及以下的所有存档安装程序。
根据Pale Moon目前的分析,浏览器的主要传播渠道不受影响:PHP大马
这从未影响Pale Moon的任何主要传播渠道,并且考虑到存档版本只会在下一个发布周期发生时进行更新,任何当前版本,无论从哪里下载的,都会被感染。不过值得注意的是,只有顶级服务器上的.exe文件受到影响,存档内的文件(从安装程序、便携版本或zip的文件中提取7-zip)不会被修改。
攻击者使用脚本,将 Win32 / ClipBanker.DY Trojan 变种注入存储在服务器上的 .exe 文件,使得下载 Pale Moon 浏览器安装程序和自解压存档的用户感染恶意软件。Pale Moon团队刚刚在7月9日发现了这个安全漏洞,并立即切断了与受影响服务器(即)的所有连接,以阻止恶意软件进一步传播给其他用户。
确切的感染日期是从受感染文件的时间戳中推断出来的:
根据受感染文件的日期/时间戳,这发生在12月27日15:30左右。这些日期/时间戳可能是伪造的,但考虑到从文件中获取的备份,这可能是伪造的实际日期和时间。
由于5月26日另一起事件(可能与这次入侵有关)导致存档服务器宕机,因此Pale Moon团队无法收集有关安全事件的更多信息。
5月26日的事件导致了存档服务器的大部分数据被损坏,无法从其中启动或检索数据。同时,这也意味着当时存在的详细攻击信息的系统日志也丢失了。
从受感染文件的时间戳可以看出,攻击者使用了一个自动进程在本地感染了这些文件,该过程将大约3MB的恶意有效载荷注入到存储在受感染服务器上的每个可执行文件中。
虽然目前尚不清楚黑客用于攻击Pale Moon服务器的确切方法,但可能是通过以下途径感染的:
1.本地访问系统(物理访问);
2.从同一节点(隔离不够)上的其他VM访问VM;
3通过不安全或被劫持的远程桌面会话(隔离不够)从同一本地子网上的其他VM访问VM;
4通过对操作系统的管理访问来访问VM文件系统。具体过程可能是在强制登录之后,通过网络,例如SAMBA / WFS(VMnet隔离不足/没有阻塞节点/ DC中的FS端口)进行的。
5.通过VM控制面板(VM提供程序的不安全控制面板)远程访问VM;
6. 所提供的Windows服务器映像(由VM提供程序预先激活或卷授权)存在问题;
为了确保安全,使用Pale Moon的用户可以通过以下步骤检查他们下载的安装程序是否被篡改,而那些下载了受感染的文件的人应该做一个完整的扫描,用杀毒软件清理你的系统,以清除这个恶意软件。
攻击中使用的恶意软件Dropper
虽然由ESET研究人员在3月分析的Win32 / ClipBanker.DY变体将自动替换其受害者剪贴板中的加密货币钱包,但用于感染Pale Moon存档安装程序的ClipBanker.DY变体确实是恶意软件Dropper。
恶意软件Dropper
在恶意可执行文件启动后,此Dropper将使用的ClipBanker.DY变体(由ESET检测为MSIL / Agent.B的变体)感染受害者的计算机。
之后,将在后台创建在启动时执行剪贴的任务,同时在前台启动Pale Moon安装程序以分散受害者的注意力,达到伪装Dropper恶意活动的目的。
虽然研究人员能够分析攻击者使用的恶意软件Dropper的行为,但是由于执行剪贴的程序可能包括反恶意软件分析和VM检测的功能,因为研究人员无法启动的恶意软件Dropper并获得有关其功能的更多信息。奇热影视
如果觉得《黑客用恶意软件Dropper攻击了Pale Moon存档服务器》对你有帮助,请点赞、收藏,并留下你的观点哦!
