微软安全情报(Microsoft Security Intelligence)研究人员近日指出,他们正在关注一场广泛的点击诈骗(Click Fraud)活动,名为DEV-0796的黑客组织利用偷偷在用户设备上安装的Node-Webkit或浏览器扩展程序展开攻击。
黑客先通过恶意广告或是在YouTube视频下方的评论嵌入恶意连接,诱导用户下载恶意的ISO或DMG文件,并安装浏览器Node-Webkit与扩展程序,之后即开始利用受害者的计算机展开点击诈骗活动,替黑客赚进广告收入,不管是Windows或Mac用户都可能受害。
图片来源/微软
微软建议用户可激活潜在垃圾应用程序(Potentially Unwanted Application,PUA)保护机制,以封锁这类恶意或垃圾程序的安装,并利用Defender SmartScreen来封锁对恶意下载网站或C&C服务器的访问。
VMware与Palo Alto Networks则将该恶意活动称为Chromeloader,并说它自今年1月就开始蔓延。根据Palo Alto Networks的解释,Chromeloader最后的恶意酬载并非Windows执行文件,而是浏览器的扩展程序,以该浏览器扩展程序当作广告程序与资讯窃取程序,可窃取用户所有的搜索关键字。
图片来源/Palo Alto Networks
微软说该恶意活动仍在持续中,VMware也说,从黑客不断更新恶意程序版本来看,Chromeloader活动并无停止的迹象。