警惕！新型网络钓鱼手段来袭

卡巴斯基实验室（Kaspersky Lab）的安全专家们发现了一种新的攻击手段，骗子利用这种手段诱导受害者在访问被感染的网站时安装恶意的“安全证书更新”，从而分发恶意软件。

我们已经注意到威胁行动者通过伪装成合法软件更新的方式来传播恶意软件。这种新技术与之前的技术不同，因为当访问者进入受感染的网站时，会被要求安装软件更新，原因是安全证书已经过期。

卡巴斯基发布的报告中提到：

“最近，我们发现了一种处理这种众所周知方法的新方式：访问受感染网站的用户会被告知某个安全证书已经过期。不出所料，这次更新是恶意的。”

“我们在各种主题的网站上发现了感染，从动物园到销售汽车配件的商店。最早的感染可以追溯到2020年1月16日。”

受感染的网站会显示一条消息，声称该网站的安全证书已经过期，并敦促访问者安装“安全证书更新”以正确查看网站内容。

该消息包含在iframe中，并通过ldfidfa [。] pw / jquery.js脚本从第三方服务器加载内容。加载脚本后，URL栏仍显示合法地址。

“jquery.js脚本覆盖了一个与页面大小完全相同的iframe，”分析继续进行。因此，用户看到的不是原始页面，而是一个看似真实的横幅，紧急提示安装证书更新。一旦受害者点击了更新按钮，就会下载一个文件(Certificate_Update_v02.2020.exe)。

可执行文件解包并向受害者安装两个恶意软件变体中的一个，分别被追踪为Mokes和Buerak。Mokes后门允许黑客在受害者的电脑上执行任意命令，它适用于Linux、Windows和OS X。Buerak是一个基于Windows的特洛伊木马，实现了后门功能和反分析技术。卡巴斯基的专家在他们的分析中包括了妥协的指标(IoCs)。