在阻止访问安全软件供应商的网站时,已经观察到一种新发现的DNS变换器特洛伊木马被称为Extenbro,以防止其受害者摆脱它在其计算机上转储的广告软件。
“这些DNS更换者阻止访问与安全相关的网站,因此广告软件受害者无法下载和安装安全软件以摆脱有害生物,”Malwarebytes Labs的安全研究人员详细说明了这一新的恶意软件。
作为一个副作用,Extenbro还将公开其管理的机器以妥协到各种其他威胁,因为它通过拒绝他们访问反恶意软件解决方案而使他们无法自卫。
“如果他们通过禁止您访问安全网站并阻止任何现有安全软件获取更新来打开您的机器以应对各种威胁,他们会关心什么?他们只是想为您提供广告软件,”研究人员补充说。
过去在Vonteera广告软件系列中采用了这种行为,该 系列采用系统证书来禁用其感染的计算机上的反恶意软件。
Bundler用于感染目标
Extenbro木马会在下载广告软件捆绑包后感染其目标,广告软件捆绑软件包通常与广告软件或间谍软件组件一起提供,这些软件包在下载程序模块的帮助下下载到受害者的计算机上。
Malwarebytes检测到用于将此DNS转换器恶意软件分发的捆绑程序,如 Trojan.IStartSurf,该公司用于标记劫机者和广告软件捆绑包系列的monicker。
“不受欢迎的广告不是来自他们正在访问的网站,或者他们的浏览器打开了他们自己未设置的起始页”,这些都是受害者在感染后会开始注意到的症状。
成功登陆受害者的计算机后,Extenbro将更改DNS设置,以便无法访问安全供应商的网站,从而有效地阻止他们下载和安装能够检测和阻止它的安全软件
Malwarebytes Labs的研究团队补充说:“对于这个问题,新的一点是你必须访问高级DNS选项卡,才能发现它已经添加了四个DNS服务器,而不是通常的两个。”
“人们可能倾向于更改可见的两个,使用”高级“按钮并查看”DNS“选项卡:这会导致他们将其他两个留下。”
即使在成功查找并删除添加到其网络设置中的所有流氓DNS服务器之后,恶意软件也会在系统重新启动后重新添加它们,因为它还会在感染阶段为此特定目的添加随机命名的计划任务。
Extenbro DNS-changer Trojan还将在所有受感染的计算机上禁用IPv6,以确保受害者不会绕过攻击者控制的DNS服务器并设法使其计算机受到保护。
它还将为Windows根证书添加根证书,并“在Firefox user.js文件中进行更改,并将security.enterprise_roots.enabled设置为true,这将配置Firefox以使用新添加的Windows证书存储区根证书已添加。
就在上周,英国国家网络安全中心(NCSC)发布了一份关于正在进行的域名系统(DNS)劫持攻击的公告,威胁行为者为了恶意目的而改变其目标的DNS设置。
这种情况先于各种类型的恶意攻击,从针对常规用户的网络钓鱼和流量嗅探到针对组织的大量严重攻击,最终可能导致其域和服务器的控制丢失。
完整的折衷指标列表(IOC)包括DNS更换器恶意软件使用的DNS服务器的IP,特洛伊木马使用的根证书以及 SHA256恶意软件样本哈希值,可在Malwarebytes Labs Extenbro报告的末尾 找到。