网络安全公司NewSky Security的研究员Ankit Anubhav上周发现一美国***网站存在一个恶意JavaScript下载器，可投放非常危险的 Cerber勒索软件 。

NewSky Security 公司的研究员 Ankit Anubhav 称 ，

“ 美国***网站上存在的 JavaScript 恶意软件会启动 PowerShell 连接 C&C服务器。 ”

下载文件伪装为gif文件 实际是Cerber勒索软件

该网站提供.zip文件，该文件存在一个含有模糊化的PowerShell的JavaScript。PowerShell会下载一个.gif文件，实则为Cerber勒索软件的可执行文件。以下是该.zip文件的链接：

hxxp://dms(dot)nwcg(dot)gov/pipermail/ross-suggestion/attachments/20170304/9ee8a89e/attachment.zip

下载器在周三被发现，数小时之后恶意代码被移除。目前尚不清楚攻击者是如何在.gov网站上安装恶意代码的以及到底多少访客受到影响。

Anubhav认为该网站遭遇了入侵，或许该网站存储的***官方邮件附件可能附带恶意软件。他强调指出这一情况与在年初Blank Slate垃圾邮件活动有相似性，那次活动中也传播了Cerber勒索软件。诈骗者在此次活动中利用了一个双重压缩文件，第二次的压缩文件附带恶意JavaScript文件或Microsoft Word文档。 SANS 的分析报告指出 ，

“ 有意思的是 ， 此次活动中利用的文件附件是双重压缩的 ， 即 ZIP 文件中还嵌套另一个 ZIP 文件。在嵌套的 ZIP 文件中 ， 您会发现一份恶意的 JavaScript (.js) 文件或 Microsoft Word 文档。这些文件用于让计算机感染恶意软件。 ”

“Blank Slate 推送各种勒索软件 ， 而此次活动中主要推送 Cerber勒索软件 。 ”

报告称攻击者利用美国***网站的高信誉度传播勒索软件

Anubhav和来自西班牙电信运营商Telefonica的Mariano Palomo Villafranca联合发布分析报告称，享有盛誉的网站，如上述提及的存在恶意软件的美国***网站，是诈骗者的高优先级攻击向量。 该分析报告称，

安全解决方案通常会将整个 IP 地址范围添加至黑名单 ， 确保潜在目标不会遭遇此类攻击 （ 因为站点在用户访问前会被阻断 ） 。为了应对这一防护措施，攻击者专注于将恶意软件投放至合法位置，如 Google 文档或一般被认为或被证实为无恶意内容的正常网站。因此，对于攻击者来说非常理想情况就是在***网站上投放恶意软件。

在一个攻击场景中，受害人会收到包含该.zip文件的页面的链接。一旦受害人点击了该链接，被模糊处理的JavaScript会被提取，启动PowerShell，导致从攻击者入侵的已知域名中下载恶意软件。

该分析报告指出，.gif可执行文件是一个NSIS安装程序，用于提取Cerber JSON文件配置。目前该链接已下线。然而，当我们分析归档数据时，我们发现该特定Payload为哈希值为“SHA256 1f15415da53df8a8e0197aa7e17e594d24ea6d7fbe80fe3bb4a5cd41bc8f09f6”的Cerber勒索软件。

原文发布时间：2017年9月5日

本文由：securityaffairs 发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/us-gov-website-cerber

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站