Falsk Adobe Flash uppdatering döljer en gruvarbetare som arbetar som en legitim programuppdatering

Computer Security News

Palo Alto säkerhetsexperter larmade av en falsk Adobe Flash uppdatering gömmer sig en gruvarbetare som fungerar som en legitim programuppdatering. Enligt forskarna användes falska Adobe Flash uppdateringen som en vektor för en skadlig kryptovaluta gruvarbetare.

Falska uppdateringen har använts aktivt i en malware kampanj sedan i somras. Offrets programvara uppdateras genom upplåning koden från legitima uppdateringen och hämta en XMRig kryptovaluta miner på Windows-datorer.

”Dock en senare typ av falsk Flash uppdatering har genomfört ytterligare bedrägeri. Så tidigt som augusti 2018, har några prover som personifierar Flash uppdateringar lånat popup-meddelanden från det officiella Adobe installerat ”. Palo Alto analys staterna.

”Dessa falska Flash uppdateringar installerar oönskade program som liknar en XMRig kryptovaluta miner, men detta malware kan också uppdatera offrets Flash Player till den senaste versionen ”.

De falska uppdateringarna Använd filnamn som börjar med AdobeFlashPlayer värd på molnbaserade webbservrar som inte hör till Adobe.

De skadliga nedladdningarna inkluderar strängen ”flashplayer_down.php?clickid=” i webbadressen.

Vid denna punkt, avslöjas inga detaljer på vägen hackare spred sig webbadresser att leverera falska Adobe Flash uppdateringen.

Domänen är relaterad till andra updaters eller installatörer driver kryptovaluta gruvarbetare och annan oönskad programvara.

Enligt analysen av nätverkstrafiken ansluta infekterade Windows värdar till [osdsoft[.]com] via HTTP POST-begäran. Domänen var associerade med updaters eller installatörer som driva kryptovaluta gruvarbetare.

”Denna domän är associerad med updaters eller installatörer driver kryptovaluta gruvarbetare och annan oönskad programvara. Ett sådant exempel från December 2017 heter gratis-mod-menyn-Ladda ner-ps3.exe också visar osdsoft [.] com följt av XMRig trafik på TCP port 14444 som exempel används i denna blogg ”. rapporten läser.

”Andra malware prover visar dock osdsoft [.] com är associerade med andra oönskade program brukar klassificeras som skadlig programvara”.

Experterna på Palo Alto Networks påpeka att potentiella offer kommer att hålla emot varningsmeddelanden om rinnande nedladdade filer på sina Windows-datorer.

”Kampanjen använder legitim verksamhet för att dölja distribution av kryptovaluta gruvarbetare och andra oönskade program”, avslutar analysen.

”Organisationer med anständig webbfiltrering och utbildade användare har en mycket lägre risk för infektion av dessa falska uppdateringar.


Leave a Reply

Your email address will not be published. Required fields are marked *