5 月 1 日消息,网络安全公司 ESET 昨日(4 月 30 日)发布博文,报道称黑客组织 TheWizards 利用 IPv6 网络功能,发起“中间人攻击”(AitM),劫持软件更新以安装 Windows 恶意软件。
报告指出该组织利用 IPv6 协议中的“无状态地址自动配置”(SLAAC)功能,实施“SLACC 攻击”。注:SLAAC 无需依赖 DHCP 服务器,支持设备自动配置 IP 地址和默认网关。
该黑客组织通过其定制工具 Spellbinder,发送伪造的路由器通告(RA)消息,诱导附近系统自动获取新的 IPv6 地址、DNS 服务器及默认网关。而这个网关实际上是“Spellbinder”工具的 IP 地址,让攻击者能拦截通信并将流量重定向至其控制的服务器。
“Spellbinder”通过名为“AVGApplicationFrameHostS.zip”的压缩文件传播,解压后伪装成合法软件目录“% PROGRAMFILES%AVG Technologies”。其中包含恶意文件“wsc.dll”,借助合法工具“winpcap.exe”加载“Spellbinder”至内存。
感染后,该工具监控特定域名流量,尤其是腾讯、百度、迅雷、优酷、爱奇艺、金山、芒果 TV、风行、有道、小米、小米 MIUI、PPLive、美图、奇虎 360 和暴风(按照原文排序)等中国软件更新服务器相关的域名。一旦发现连接请求,它会重定向下载恶意更新,安装后门程序“WizardNet”,让攻击者持续控制设备并安装更多恶意软件。
该内容转自IT之家
本文共 347 个字数,平均阅读时长 ≈ 1分钟
喜欢就支持一下吧
本站为个人博客,博客所发布的一切破解补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
本站信息来自网络,版权争议与本站无关,您必须在下载后的24个小时之内从您的电脑中彻底删除上述内容。
访问和下载本站内容,说明您已同意上述条款。
本站不贩卖软件,所有内容不作为商业行为。如果有侵犯您的权益请点击“关于”联系WFXL,核实后会及时删除
版权属于:新闻发布
作品采用《署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)》许可协议授权
评论 抢沙发
