假瀏覽器更新被利用作為 BitRAT 和 Lumma Stealer 惡意軟件的傳遞機(jī)制，eSentire 的威脅響應(yīng)小組(TRU)在 2024 年 5 月檢測(cè)到了這一點(diǎn)。

　　這些惡意軟件負(fù)載隱藏在 JavaScript 代碼中，并偽裝成 .png 文件，通過(guò) PowerShell 腳本進(jìn)行部署，突顯了用戶提高警惕和加強(qiáng)端點(diǎn)保護(hù)措施的必要性。

　　假瀏覽器更新已成為傳播惡意軟件的一種常見(jiàn)方法，正如 eSentire 的威脅響應(yīng)小組(TRU)最近的發(fā)現(xiàn)所強(qiáng)調(diào)的那樣。2024 年 5 月，TRU 發(fā)現(xiàn)了假更新分發(fā) BitRAT 和 Lumma Stealer 的實(shí)例，這兩種惡意軟件因其數(shù)據(jù)竊取能力而臭名昭著。

　　攻擊通常從用戶訪問(wèn)包含惡意 JavaScript 代碼的受損網(wǎng)頁(yè)開始，該代碼會(huì)將用戶重定向到一個(gè)偽造的更新頁(yè)面，敦促他們從 Discord 的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)下載名為“Update.zip”的 Zip 存檔，這個(gè)存檔中包含一個(gè) JavaScript 文件(Update.js)，這是最初的下載器，在執(zhí)行時(shí)獲取負(fù)載。

　　在執(zhí)行 Update.js 后，會(huì)激活多個(gè) PowerShell 腳本，這些腳本托管在一個(gè)已知的 BitRAT 命令與控制(C2)地址上，這些腳本有助于下載和執(zhí)行后續(xù)負(fù)載，這些負(fù)載偽裝成具有各種功能的 .png 文件，包括加載、持久性和實(shí)際負(fù)載傳遞。

　　其中一個(gè)負(fù)載 BitRAT 擁有許多功能，如遠(yuǎn)程桌面訪問(wèn)和加密貨幣挖礦，另一個(gè)檢測(cè)到的負(fù)載 Lumma Stealer 專門竊取敏感數(shù)據(jù)，如加密貨幣錢包和瀏覽器擴(kuò)展，作為一種服務(wù)式惡意軟件(Malware-as-a-Service)運(yùn)行。

　　假更新作為傳遞渠道的使用，突顯了用戶對(duì)更新提示合法性保持警惕的必要性，實(shí)施強(qiáng)大的端點(diǎn)保護(hù)工具和開展安全意識(shí)培訓(xùn)項(xiàng)目可以有效地減輕此類威脅。