一、摘要

• Proofpoint正在跟蹤多個不同的威脅集群，這些集群使用與虛假瀏覽器更新相關的類似主題；
• 虛假的瀏覽器更新通過受感染的網站和針對用戶瀏覽器定制的誘餌，來濫用最終用戶的信任，以使更新合法化并欺騙用戶點擊；
• 威脅只存在于瀏覽器中，并且可以通過點擊合法和預期的電子郵件、社交媒體網站、搜索引擎，甚至只是導航到受感染的網站來觸發；
• 不同的活動使用的誘餌相似，但有效載荷卻截然不同。識別威脅屬于哪個活動和惡意軟件集群對于指導防御者的響應至關重要。

二、概述

Proofpoint目前正在追蹤至少四個不同的威脅集群，它們使用虛假的瀏覽器更新來傳播惡意軟件。虛假瀏覽器更新指的是通過受感染的網站和針對用戶瀏覽器定制的誘餌，顯示來自瀏覽器開發商（如Chrome、Firefox或Edge）的通知，告知其瀏覽器軟件需要更新。當用戶點擊鏈接時，他們下載的不是合法的瀏覽器更新，而是有害的惡意軟件。

研究顯示，過去5年來，TA569一直在使用虛假瀏覽器更新來傳播SocGholish惡意軟件，但最近，其他威脅參與者也紛紛開始復制這種誘餌主題。每個威脅參與者都使用自己的方法來提供誘餌和有效載荷，但主題都利用了相同的社會工程策略。虛假瀏覽器更新的濫用是非常獨特的存在，因為它濫用了最終用戶對瀏覽器及其訪問的已知網站的信任。

控制虛假瀏覽器更新的威脅行為者使用JavaScript或HTML注入代碼將流量引導到他們控制的域，這就會導致特定于潛在受害者使用的web瀏覽器的瀏覽器更新誘餌覆蓋原始網頁。然后，惡意負載將自動下載，或者用戶將收到下載“瀏覽器更新”的提示，進而加載惡意負載。

三、虛假瀏覽器更新誘餌和有效性

虛假瀏覽器更新誘餌之所以有效，是因為威脅行為者正在利用終端用戶的安全培訓來對付它們。在安全意識培訓中，用戶被告知只接受更新或點擊來自更新或點擊已知和可信站點或個人的鏈接，并驗證站點是合法的。虛假的瀏覽器更新正是濫用了這一點，因為他們破壞了受信任的網站，并使用JavaScript請求在后臺悄悄地進行檢查，并用瀏覽器更新誘餌覆蓋原始網站。對于終端用戶來說，它看起來仍是他們打算訪問的同一個網站，而這個“合法”網站正在要求他們更新瀏覽器。

Proofpoint還沒有識別出直接發送包含惡意鏈接的電子郵件的威脅行為者，但是，由于威脅的性質，可以通過各種方式在電子郵件流量中觀察到受損的URL。它們可能出現在不知道網站被黑的普通終端用戶的正常電子郵件流量中，可能出現在谷歌警報等監控電子郵件中，或者出現在分發新聞通訊等大規模自動電子郵件活動中。

組織不應將虛假瀏覽器更新威脅僅視為電子郵件問題，因為最終用戶可以從其他來源訪問該網站，例如搜索引擎、社交媒體網站，或者直接導航到該網站并接收誘餌并可能下載惡意負載。

值得一提的是，每個活動都過濾了流量，以盡可能地逃避檢測并延緩發現。雖然這可能會減少惡意有效載荷的潛在傳播，但它使攻擊者能夠在更長的時間內保持對受感染站點的訪問。這可能會使響應復雜化，因為隨著多個活動和不斷變化的有效載荷，響應者必須花時間弄清楚他們需要尋找什么，并在下載時確定相關的妥協指標（IoC）。

四、威脅集群

目前的情況包括四種不同的威脅集群，這些集群都使用了獨特的活動來提供虛假的瀏覽器更新誘餌。由于誘餌和攻擊鏈的相似性，一些公開報告錯誤地將這些活動歸因于相同的威脅集群?；赑roofpoint獨特的可見性，Proofpoint研究人員能夠將它們分解成更細粒度的集群。

Proofpoint的研究側重于假瀏覽器更新整體場景，為防御者提供有關如何識別每個獨特活動的詳細信息，以及其他Proofpoint或第三方報告的附加鏈接，其中包含深入的研究和分析。例如，Malwarebytes的Jér?me Segura在GitHub上提供了一個很好的資源，展示了每個活動用作誘餌的一些圖像。

每個活動都有一些共同的特征，這些特征可以被描述為活動的三個不同階段?！半A段1”是對合法但已被攻破的網站進行惡意注入?！半A段2”指的是進出惡意行為者控制域的流量，該域執行大部分過濾并承載誘餌和惡意負載。“階段3”是下載后負載在主機上的執行。

1.SocGholish

當談及虛假瀏覽器更新誘餌時，便不得不提SocGholish。Proofpoint研究人員通常將SocGholish的攻擊歸咎于一個名為TA569的威脅行為者。Proofpoint觀察到TA569還充當了其他威脅參與者的分發者。

目前，TA569正在使用三種不同的方法將流量從受感染的網站引導到由威脅行為者控制的域。

第一種方法是利用Keitaro流量分配系統（TDS）通過各種參與者控制域進行注入。這些域將在路由到階段2域之前過濾掉一些請求。大多數指向Keitaro TDS URL的注入將在同一個文件中包含多個不同的重定向域，如下面的圖2所示。

TA569使用的第二種方法是Parrot TDS（也稱為NDSW/NDSX），用于混淆注入的代碼，并在將請求路由到階段2域之前應用類似的過濾。受感染的網站可能包含多達10個惡意JavaScript文件，這些文件都包含Parrot TDS注入，從而觸發SocGholish有效負載。

TA569使用的第三種方法是在受損網站的HTML中發送一個簡單的JavaScript異步（asynchronous）腳本請求，該請求可以到達階段2域。

由于注入的種類繁多，防御者很難識別惡意注入的位置，并且由于過濾的不同階段，很難復制流量。

這些方法中的每一種都會到達一個階段2域，該域會進行額外的過濾，并將虛假的瀏覽器更新誘餌和有效負載傳遞給通過過濾的流量。有效負載可以是一個普通的JavaScript（.js）文件，通常命名為“Update.js”，也可以是一個壓縮的JavaScript文件。如果負載由用戶執行，它將首先通過wscript對主機進行指紋識別。根據指紋識別的結果，JavaScript要么退出，要么加載遠程訪問木馬（RAT），要么等待來自威脅參與者的進一步命令，據報道，這將導致Cobalt Strike或BLISTER Loader。

【圖1：欺騙用戶進行Chrome更新的SocGholish虛假更新誘餌】

【圖2：Keitaro TDS注入示例】

【圖3：Parrot（NDSW）注入示例】

【圖4：異步注入示例】

2.RogueRaticate / FakeSG

研究人員發現的第二個虛假瀏覽器更新被稱為“RogueRaticate”或“FakeSG”。Proofpoint在2023年5月首次發現了這一活動，第三方研究人員將其稱為現有的大量SocGholish活動的副本。這種活動可能早在2022年11月就已在野活躍了。目前，Proofpoint并沒有將RogueRaticate的活動歸因于被追蹤到的任意威脅行為者，而且它一直與SocGholish的活動有明顯的區別。

RogueRaticate將嚴重混淆的JavaScript代碼注入到階段1網站上現有的JavaScript文件中。注入的JavaScript到達了階段2域。階段2域托管一個Keitaro TDS，它會過濾掉不需要的請求，并在JSON響應中使用空白的“body”值進行響應。當它確定一個目標來接收誘餌時，它會在“body”值中發送編碼的雙Base64誘餌。誘餌包含一個按鈕，如果按下這個按鈕，它會使用HTML href屬性從一個單獨的受感染站點（通常托管在WordPress上）下載有效載荷。

RogueRaticate活動的虛假更新有效負載總是涉及HTML應用程序（.hta）文件。該HTA文件要么被壓縮，要么通過指向.lnk的快捷方式（.url）文件下載。.hta文件通常通過承載惡意負載的同一階段2域將惡意NetSupport RAT負載加載到主機上。

【圖5：欺騙用戶進行Chrome更新的RogueRaticate虛假更新誘餌示例】

【圖6：RogueRaticate注入示例】

3.ZPHP / SmartApeSG

Proofpoint在2023年6月首次發現了導致NetSupport RAT的另一個新的虛假更新活動集群。Trellix于2023年8月首次公開報道了該活動。該活動在公開文檔中被Proofpoint或SmartApeSG稱為“ZPHP”。注入是一個簡單的腳本對象，它被添加到受感染網站的HTML代碼中。它向階段2域中的“/cdn/wds.min.php”或“/cdn-js/wds.min.php”發出異步請求。響應是嚴重混淆的JavaScript代碼，它將嘗試創建iframe并向“/zwewmrqqgqnaww.php?reqtime=<epoch time>”發出第二個請求，這似乎過濾掉了不需要的請求，并將瀏覽器更新提示返回給未過濾的請求。負載通過base64編碼的zip文件下載。

壓縮后的瀏覽器更新有效載荷通常包含一個JavaScript（.js）文件，該文件會將惡意NetSupport RAT有效載荷加載到主機上。Proofpoint還發現.zip包含一個可執行文件（.exe），用于加載Lumma Stealer。

【圖7：欺騙用戶進行Chrome更新的ZPHP誘餌】

【圖8：ZPHP注入示例】

Proofpoint目前沒有將ZPHP活動歸因于任何已識別的威脅參與者。

4.ClearFake

2023年8月，第三方研究人員發布了名為“ClearFake”的虛假瀏覽器更新威脅活動的詳細信息。Proofpoint隨后也確定了與該群集相關的一致活動。分析發現，其注入是將base64編碼的腳本添加到受感染網頁的HTML中。Proofpoint觀察到注入指向各種服務，包括Cloudflare Workers，一個托管在演員GitHub上的文件，以及最近被稱為幣安智能鏈（Binance Smart Chain）的區塊鏈網絡。初始請求將流量定向到承載Keitaro TDS過濾服務以過濾請求的階段2域。參與者使用新注冊的階段2域，如果訪問者通過了過濾，則該階段域將創建托管在階段2域中的虛假更新誘餌的iFrame。點擊更新按鈕將導致在Dropbox和OneDrive上觀察到的有效載荷的下載。

觀察到的有效載荷是可執行文件（有時是壓縮的）、.msi和.msix，用于觸發各種竊取程序（包括Lumma、Redline和Raccoon v2）的安裝。

【圖9：欺騙用戶進行Chrome更新的ClearFake誘餌】

【圖10：ClearFake注入示例】

值得注意的是，Proofpoint已經觀察到ClearFake以某些語言顯示虛假更新誘餌，以匹配瀏覽器的設置語言，包括法語、德語、西班牙語和葡萄牙語。Proofpoint暫未將ClearFake活動歸因于任何已識別的威脅參與者。

五、結語

Proofpoint觀察到，使用虛假瀏覽器更新來傳遞各種惡意軟件（包括有效載荷）的威脅活動有所增加。SocGholish和TA569已經證明，通過破壞易受攻擊的網站來顯示虛假的瀏覽器更新是惡意軟件傳播的一種可行方法，新的攻擊者已經從TA569中吸取了經驗，并開始以自己的方式應用這種誘餌。

本報告中詳細描述的活動對于安全團隊來說很難檢測和預防，最好的緩解辦法是縱深防御。組織應該有適當的網絡檢測（包括使用新興威脅規則集）并使用端點保護。此外，組織應該培訓用戶識別活動并向其安全團隊報告可疑活動。這是非常具體的培訓，但可以很容易地集成到現有的用戶培訓計劃。