黑客正在收集你的设备数据！警惕虚假的Flash、Chrome 和 FireFox更新

FireEye 发布报告称追踪到一起特别的网络攻击活动，该活动过去几个月一直利用被感染的网站传播虚假的软件更新，以便在受害者设备上安装 NetSupport Manager 远程访问工具（RAT），获取设备信息。

利用Adobe Flash等虚假的软件更新

NetSupport Manager 是一款商用 RAT，管理员可通过这款 RAT 远程访问客户端计算机。但是，研究人员发现恶意攻击者却在滥用这款 RAT，将其悄悄安装在受害者的电脑上，从而未经授权访问设备。

恶意攻击者滥用被感染的网站传播虚假的 Adobe Flash、Chrome 和 FireFox，一旦用户接受更新，便会下载恶意 JavaScript 文件。

虚假的软件更新消息弹出窗口

黑客怎样获取设备信息？

FireEye 指出，JavaScript 恶意软件会收集系统的基本信息并发送至服务器，再从服务器接收其它命令，之后执行 JavaScript 命令以传递最终的 Payload。这个名为 Update.js 的 JavaScript 在 wscript.exe 的帮助下从 %AppData% 执行。

这款恶意软件的开发人员对最初的 JavaScript 进行了多层模糊处理，并设法使得针对第二个 JavaScript 文件的分析更加困难。通过使用调用和被调用函数代码来获得解密密钥，攻击者可以确保，一旦分析师添加或删除内容，脚本不会检索密钥导致异常而终止。

初始执行后，JavaScript 便会开启与命令与控制（C&C）服务器的连接，并以编码格式发送名为 tid 的值和系统的当前日期。之后，这个脚本会解码服务器响应，并将其作为一个名为 step2 的函数执行。这个函数负责收集各种系统信息，并对其编码发送至服务器，收集的信息包括：

设备体系架构、计算机名称、用户名、处理器、操作系统、域、制造商、型号、BIOS 版本、反间谍软件产品、反病毒产品、MAC 地址、键盘、定点设备、显示控制器配置和进程列表。

此后，服务器会用编码内容作出响应：名为 step3 函数和下载并执行最终 payload 的 Update.js。

这款软件利用 PowerShell 从服务器下载多个文件，包括 7zip 独立可执行文件、包含这款 RAT 并设置了密码保护的归档文件以及批处理脚本，以此在目标系统上安装 NetSupport 客户端。

批处理脚本还可禁用 Windows 错误报告和应用程序兼容性，将远程控制客户端可执行文件添加到防火墙的许可程序列表中，添加运行注册表或将快捷文件下载到启动文件夹以维持持久性，隐藏文件，删除 Artefact，并执行该 RAT。研究人员还发现，恶意软件会定期更新这个脚本。

主要瞄准美国、德国和荷兰的设备

在 NetSupport Manager 的帮助下，攻击者可远程访问被感染的系统，传输文件，启动应用程序，获取系统的定位，并远程检索目录和系统信息。最终的 JavaScript 还下载了包含 IP 地址列表的 txt 文件，这些地址可能是被感染的系统。大部分这些 IP 地址属于美国、德国和荷兰。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。