瀏覽器外掛程式InstallBrain,不只給廣告還附贈點擊劫持, 數以百萬電腦安裝該程式,台灣佔全球第三

一家公司以涉嫌侵權為由,四次要求 Google移除搜尋結果,被拒絕了,它要求移除的結果是關於如何移除所屬相關廣告軟體的文章,該公司旗下的瀏覽器外掛程式InstallBrain,最近被爆不經使用者同意,替用戶安裝惡意程式!!
這個橫跨全球 150個國家擁有數百萬安裝用戶具備廣告支援的瀏覽器外掛程式橫跨全球 150個國家,而台灣名列第三

廣告軟體通常遊走在合法軟體和惡意軟體之間的灰色地帶。比如台灣安裝數名列全球第三名的InstallBrain,這個橫跨全球150個國家擁有數百萬安裝用戶具備廣告支援的瀏覽器外掛程式橫跨全球150個國家。

 

圖:InstallBrain被大量偵測出現在上列國家。

 

有相當長一段時間,InstallBrain就生存在那個灰色地帶,即使它具備rootkit功能會深入作業系統,劫持瀏覽器並干擾使用者體驗,但它並沒被認為是惡意的軟體,直到2013年跨越了那條界線:未經同意就在使用者系統上安裝以clickjacking點擊劫持、搜尋引擎劫持和比特幣(Bitcoin)採礦聞名的惡意軟體家族:SEFNIT/MEVADE惡意軟體,讓它從此惡名遠播。

2013年8月,包含趨勢科技在內的許多資安專家都指出Tor(The Onion Router)匿名服務使用數量的大幅成長,在幾個星期內就從100萬成長到超過500萬。

 

圖:在2013年8月看到Tor網路使用者的急劇增加。

趨勢科技的研究人員進一步發現Tor使用者數量增加,是因為感染了包含了TOR組件的SEFNIT/MEVADE。SEFNIT/MEVADE從2010年就已經出現。在此數量爆發的同時,趨勢科技主動式雲端截毒服務  Smart Protection Network發現有超過68個國家受到感染,大多數受害者位在日本、美國、台灣和印度。 

雖然這是已知的連結,趨勢科技的研究發現SEFNIT/MEVADE惡意軟體和InstallBrain(安裝它的廣告軟體)背後人物的明確關聯。我們的研究顯示SEFNIT/MEVADE位在烏克蘭的作者和位在以色列的InstallBrain廠商 – iBario之間的明確關聯。

根據Times of Israel,InstallBrain是由一家iBario公司所擁有。iBario是一家位於以色列的網路廣告公司,成立於2007年。iBario市值約1億美元,以提供免費軟體安裝和管理大型廣告網路聞名。iBario的客戶包括下載平台、購物網站、配方網站、網路測速網站、常見問答資訊網站等等。iBario也是Google最大的廣告合作夥伴之一。

iBario同時也在2012年和2013年以涉嫌侵權為由,四次要求Google移除搜尋結果。iBario要求取下的結果是關於如何移除iBario廣告軟體。Google拒絕了這些要求。

最近,iBario移除了InstallBrain,而用「UnknownFile」(新應用程式的真實名稱)取代。然而,分析「UnknownFile」後顯示它實際上是InstallBrain的變種。

研究SEFNIT/MEVADE後追蹤到烏克蘭哈爾科夫的威脅作者。其中一主要份子被稱為「Scorpion(蝎子)」。我們在2013年9月的研究發現他和他的夥伴「Dekadent」是這惡意軟體的幕後黑手。進一步的調查顯示出烏克蘭的威脅作者和iBario間有眾多牽連。

  1. 我們的研究人員在烏克蘭威脅作者所擁有網域內的資料庫內發現SEFNIT/MEVADE程式碼。該網域指向InstallBrain所有者iBario所擁有IP網段內的IP地址。
  2. 分析SEFNIT/MEVADE和InstallBrain,顯示出它們的程式碼有相似之處。
  3. 分析同時顯示SEFNIT/MEVADE和InstallBrain連接到各自指揮和控制(C&C)伺服器方式的相似處。
  4. iBario的烏克蘭的承包商不斷地調整InstallBrain以逃避反惡意軟體偵測。
  5. 同一批iBario烏克蘭的承包商參與一名為「防毒檢查系統(ACS)」的專案,它會在新惡意軟體實際使用前先檢查防惡意軟體偵測率。
  6. InstallBrain的技術長包含在ACS使用者列表中

iBario聲稱自己是完全的以色列公司。然而,一「iBario烏克蘭」的組織架構圖出現可能為InstallBrain技術長(Michael)的人,加上來自跟iBario有關的烏克蘭承包商(Bisovman)在社群媒體上的度假照片,似乎說明不是這麼一回事。

最後也值得注意的是,趨勢科技主動式雲端截毒服務  Smart Protection Network資料顯示iBario所在的以色列幾乎沒有SEFNIT/MEVADE感染。網路犯罪分子不攻擊自己人而只針對外人並不少見。不過也有可能是因為iBario不想惹上他們所在國家的執法單位。

將這些都兜在一起,證據顯示開發InstallBrain和MEVADE/SEFNIT惡意軟體的烏克蘭人實際上是為iBario工作。

這並不是第一次有看似合法的公司擴展到惡意活動。一家擁有Esthost的愛沙尼亞網路代管公司 – Rove Digital看起來很正常,但後來被發現從事網路犯罪活動。在本案例中,它顯示出當廣告軟體被安裝到系統上後,是多麼容易被切換,然後用在非法目的上。

這裡閱讀我們完整的報告。

 

@原文出處:Trend Micro Research Ties SEFNIT/MEVADE Malware to Ukraine, iBario in Israel

 

趨勢科技PC-cillin 2014雲端版 獨家【Facebook隱私權監測】,手機‬、平板、電腦全方衛!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

FB_banner0331-2