返回新闻列表

冒充警察的Koler勒索软件现在可同时攻击PC计算机和安卓设备,并且使用了漏洞利用程序工具包

        这款勒索软件会针对30个国家的受害者显示不同的定制信息。

        2014年4月,卡巴斯基实验室在针对一起恶意软件的攻击行动调查时,检测出一种隐藏部分,从而发现了针对安卓设备的手机勒索软件Koler“警察”。检测出的这部分包括若干基于浏览器的勒索软件以及一个漏洞利用工具包。从7月23日开始,这次攻击行动的手机恶意组件逐渐开始瓦解,这是由于该恶意软件的命令和控制服务器开始向受害者的手机设备发送“卸载”命令,高效地删除了受感染设备中的恶意程序。但是,针对PC计算机用户的恶意组件,包括漏洞利用程序则依然活跃。卡巴斯基实验室正在密切关注该恶意软件。这款恶意软件最早是由一名叫做Kaffeine的安全研究人员发现的1。

        这次攻击的幕后者采用了一种不同寻常的攻击方式。首先他们会扫描受害者的系统,根据受害者的位置和设备类型(手机或PC计算机)定制勒索软件。之后,当受害者访问Koler操纵者所使用的任意恶意色情网站(至少有48个)后,重定向基础设施将会出场将。这款勒索软件使用色情网络并非是偶然,而是因为受害者访问此类内容后,很可能会具有负罪感,从而向所谓的“权威机构”支付罚金。

        这些色情网站会将用户重定向至中央枢纽,之后使用Keitaro数据分布系统(TDS)再次将用户重定向。根据一定的条件,第二次重定向可能会导致三种不同的恶意结果:

  • 安装手机版Koler勒索软件. 如果用户使用移动设备访问,网站会自动将用户重定向到恶意程序。但是,用户仍然需要确认下载和安装应用(animalporn.apk),其实这款应用就是Koler勒索软件。该恶意软件会锁定受感染设备的屏幕,要求用户支付100美元至300美元的赎金才能够解锁设备。恶意软件会显示本地化的“警察”信息,使其看上去更为真实。
  • 将受害者重定向到浏览器勒索软件网站. 攻击者会使用一个特殊的控制器检查以下条件:(i)用户所使用的客户端是否来自30个受影响国家之一,(ii)用户不是安卓设备用户,(iii)网络请求不包含Internet Explorer客户端信息。如果上述条件均成立,用户会看到一个锁定屏幕,同手机设备所显示的一样。但是,在这种情况下,用户的设备并没有被感染,只是弹出了一个被锁定的模版。用户可以通过按下alt+F4组合键轻松关闭锁定页面。
  • 将受害者重定向到包含Angler漏洞利用工具包的网站. 如果用户使用Internet Explorer,重定向基础设施会将用户重定向到包含Angler漏洞利用工具包的网站,通过Silverlight、Adobe Flash和Java漏洞感染用户计算机。在卡巴斯基实验室分析期间,这些漏洞利用代码功能完全可用,却未实施任何恶意功能。然而,这一情况可能很快就会改变。

        卡巴斯基实验室首席安全研究员Vicente Diaz就此次关于Koler的最新发现评论说:“Koler攻击行动最有趣的地方在于其使用的分发网络。通过数十个自动生成的网站将用户重定向到一个中央枢纽,之后利用浏览分发系统再次对用户进行重定向。我们认为,这种基础设施结构恰恰证明了这次攻击行动的危险性和有组织性。利用自动化技术,攻击者可以快速生成类似的基础设施,改变其恶意功能或针对不同的用户发动攻击。攻击者还想出了多种办法,通过攻击多种设备实时攻击获取利润。”

手机受害者数量

        自从这次攻击行动开始后,共有约200,000名用户利用移动设备访问了这一恶意域名。其中大多数受害者位于美国(80%——146,650),其次是英国(13,692)、澳大利亚(6,233)、加拿大(5,573)、沙特阿拉伯(1,975)和德国(1,278)。

        卡巴斯基实验室已经将其调查结果分享给欧洲刑警组织和国际刑警组织,而且目前正在同执法机关合作,探索关闭其基础设施的可能性。

针对用户的安全建议:

  • 谨记警察绝对不会向您发送“勒索赎金”的信息,所以绝对不要支付所谓的“罚款”;
  • 不要安装在浏览网页过程中发现的应用;
  • 不要访问不受信任的网站;
  • 使用可靠的反病毒解决方案。

        卡巴斯基实验室将此勒索软件检测为Trojan.AndroidOS.Koler.a.

        报告全文请参见securelist.com

        Cyberthreat real-time map

        1http://malware.dontneedcoffee.com/2014/05/police-locker-available-for-your.html