假冒软件分发恶意软件系列活动

admin
admin
admin
0
文章
0
评论
2026-05-14 14:36:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 近期出现通过伪装知名软件网站分发恶意软件的活动,攻击者伪造KeePassXC、Cyberduck等流行工具的下载页面,使用恶意域名和合法证书签名绕过安全检测。恶意样本通过PowerShell脚本下载载荷、建立持久化控制。建议用户验证官方下载源、使用反病毒软件、加强网络监控并提升安全意识。 综合评分: 85 文章分类: 恶意软件,威胁情报,安全意识,漏洞预警,解决方案

cover_image

假冒软件分发恶意软件系列活动

原创

忍者 忍者

Khan安全团队

2026年5月11日 23:11 海南

在小说阅读器读本章

去阅读

概述

#

近期,一系列恶意活动正在通过伪装成知名软件下载页面来传播恶意软件。攻击者通过创建多个假的软件网站,伪装成广泛使用的工具,如KeePassXCCyberduckJoplinWinSCPAmazon S3浏览器EmEditorPutty等,诱使用户下载含有恶意负载的程序。这些伪装网站使用了多个恶意域名,并通过合法证书进行签名,从而绕过安全软件的检测。

恶意域名

以下是本次恶意活动涉及的部分伪装域名,攻击者通过这些域名提供恶意软件下载链接

  • winscp-download[.]us[.]org
  • winscp-setup[.]net
  • winscp-app[.]org
  • mullvad-vpn[.]us[.]org
  • mullvad-download[.]org
  • mullvad-download[.]it[.]com
  • winscp-downloads[.]com
  • s3-browser[.]quest
  • s3-browser-download[.]blog
  • em-editor[.]co[.]com
  • joplin-download[.]com
  • joplin-desktop[.]app
  • emeditor-download[.]co[.]com
  • cyberduck[.]info
  • cyber-duck[.]co[.]com
  • filezilla-project[.]us[.]com
  • putty-setup[.]us[.]com
  • cyberduck-ftp[.]com
  • cyberduck-download[.]org
  • winscp-ftps[.]com

恶意软件签名

#

这次攻击活动还涉及到使用了恶意签名的证书,特别是来自**”Shenzhen Xingzhongxing Electronic Technology Co., Ltd.”的证书,这些证书由Sectigo**签发。恶意软件的签名通过合法证书的使用使得传统的安全防护手段难以识别其恶意性质。

恶意样本与技术

#

在一些已分析的恶意软件样本中,例如KeePassXC的伪装版本,攻击者通过伪装网站引诱用户下载恶意文件。这些恶意文件会利用Powershell脚本或其他脚本语言来执行恶意操作,包括但不限于

  • 下载并执行其他恶意载荷

    这些文件通常会通过与远程服务器(C2)通信下载额外的恶意代码。

  • 绕过安全防护

    恶意文件使用了混淆技术,以躲避常见的反病毒和安全防护工具。

  • 获取控制权限

    恶意软件会尝试在被感染的计算机上建立持久化机制,使攻击者能够持续控制目标系统。

假冒的KeePassXC下载页面

假冒的Cyberduck下载页面

恶意活动分析

#

此次攻击的主要策略是通过虚假的软件网站引诱用户下载恶意程序。攻击者伪装成流行的开源软件和工具,如KeePassXCCyberduckJoplin等,利用用户对这些程序的信任性,成功诱导用户下载安装恶意软件。这些恶意软件往往是经过精心设计和签名的,利用合法证书来掩盖其恶意行为。

攻击者通过在这些伪装网站上提供看似无害的下载链接,实际上是在分发经过签名的恶意软件,进而导致数据泄露、远程控制或系统破坏等安全问题。

建议与防范措施

#

  1. 下载来源验证

    用户应始终从官方渠道下载软件,确保下载链接的安全性。尤其是针对知名软件,应当特别留意任何偏离官方网站的网址。

  2. 使用反病毒软件

    确保所有终端设备都配备更新的反病毒和反恶意软件工具,并且能够有效检测到新型的恶意代码。

  3. 网络监控

    组织应加强网络监控,尤其是对于与未知或可疑域名的通信,及时识别并阻断恶意流量。

  4. 提高用户安全意识

    加强对员工或用户的安全意识培训,教育他们如何识别伪造的软件下载网站,避免受骗。

结论

#

这次恶意软件分发活动展示了攻击者如何利用伪装技术绕过传统的安全防护。通过伪造知名软件的官方网站,攻击者能够轻松诱骗用户下载恶意文件。为了有效抵御此类威胁,用户和组织需要采取适当的安全措施,确保所有软件下载源的可靠性,并定期进行安全审计和监控。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Khan安全团队 忍者 忍者《假冒软件分发恶意软件系列活动》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0