新的Extenbro DNS Changer木马阻止安全域

<返回列表

在阻止访问安全软件供应商的网站时,已经观察到一种新发现的DNS变换器特洛伊木马被称为Extenbro,以防止其受害者摆脱它在其计算机上转储的广告软件。

“这些DNS更换者阻止访问与安全相关的网站,因此广告软件受害者无法下载和安装安全软件以摆脱有害生物,”Malwarebytes Labs的安全研究人员详细说明了这一新的恶意软件。

作为一个副作用,Extenbro还将公开其管理的机器以妥协到各种其他威胁,因为它通过拒绝他们访问反恶意软件解决方案而使他们无法自卫。

“如果他们通过禁止您访问安全网站并阻止任何现有安全软件获取更新来打开您的机器以应对各种威胁,他们会关心什么?他们只是想为您提供广告软件,”研究人员补充说。

过去在Vonteera广告软件系列中采用了这种行为,该  系列采用系统证书来禁用其感染的计算机上的反恶意软件。

Bundler用于感染目标

Extenbro木马会在下载广告软件捆绑包后感染其目标,广告软件捆绑软件包通常与广告软件或间谍软件组件一起提供,这些软件包在下载程序模块的帮助下下载到受害者的计算机上。

Malwarebytes检测到用于将此DNS转换器恶意软件分发的捆绑程序,如  Trojan.IStartSurf,该公司用于标记劫机者和广告软件捆绑包系列的monicker。

“不受欢迎的广告不是来自他们正在访问的网站,或者他们的浏览器打开了他们自己未设置的起始页”,这些都是受害者在感染后会开始注意到的症状。

成功登陆受害者的计算机后,Extenbro将更改DNS设置,以便无法访问安全供应商的网站,从而有效地阻止他们下载和安装能够检测和阻止它的安全软件

Malwarebytes Labs的研究团队补充说:“对于这个问题,新的一点是你必须访问高级DNS选项卡,才能发现它已经添加了四个DNS服务器,而不是通常的两个。”

“人们可能倾向于更改可见的两个,使用”高级“按钮并查看”DNS“选项卡:这会导致他们将其他两个留下。”

即使在成功查找并删除添加到其网络设置中的所有流氓DNS服务器之后,恶意软件也会在系统重新启动后重新添加它们,因为它还会在感染阶段为此特定目的添加随机命名的计划任务。

Extenbro DNS-changer Trojan还将在所有受感染的计算机上禁用IPv6,以确保受害者不会绕过攻击者控制的DNS服务器并设法使其计算机受到保护。

它还将为Windows根证书添加根证书,并“在Firefox user.js文件中进行更改,并将security.enterprise_roots.enabled设置为true,这将配置Firefox以使用新添加的Windows证书存储区根证书已添加。

就在上周,英国国家网络安全中心(NCSC)发布了一份关于正在进行的域名系统(DNS)劫持攻击的公告,威胁行为者为了恶意目的而改变其目标的DNS设置。

这种情况先于各种类型的恶意攻击,从针对常规用户的网络钓鱼和流量嗅探到针对组织的大量严重攻击,最终可能导致其域和服务器的控制丢失。

完整的折衷指标列表(IOC)包括DNS更换器恶意软件使用的DNS服务器的IP,特洛伊木马使用的根证书以及  SHA256恶意软件样本哈希值,可在Malwarebytes Labs Extenbro报告的末尾  找到。

国内免备案VPS301跳转服务器国内免备案服务器域名被墙跳转301,绕过信息安全中心不能放违反法律法规内容!(北京免备案  镇江免备案 江苏免备案 辽宁免备案vps 山东联通免备案) 
分享新闻到:

更多帮助

新的Extenbro DNS Changer木马阻止安全域

新闻中心 2023-09-11
在阻止访问安全软件供应商的网站时,已经观察到一种新发现的DNS变换器特洛伊木马被称为E...
查看全文

如何防御基于浏览器的网络攻击

新闻中心 2023-09-10
基于浏览器的网络威胁已经是当今很多网络安全专业人事头疼的问题,那么,我们要如何防御...
查看全文

WordPress插件中的严重错误让黑客执行代码

新闻中心 2023-09-10
目前安装在200,000多个网站上的广告插入器WordPress插件中发现的一个严重安全问题允许经过身份...
查看全文