(资料图)

研究人员警告说，一种新的网络诈骗活动使用虚假的Windows更新来诱骗受害者在其设备上下载并运行Aurorainfostelaer。

Malwarebytes的专家最近发现了一项恶意广告活动，利用弹出式广告来提供恶意软件加载程序。

弹出式广告是一种在浏览器下加载的广告，只有在用户关闭或将浏览器移出视线后才可见。这些广告主要投放在流量较高的成人内容网站上，以全屏方式显示，并告诉用户他们需要更新设备。据称，此次活动使用了十多个域名。

那些上当的人会下载一个名为ChromeUpdate.exe的文件，它实际上是一个名为“无效打印机”的恶意软件加载程序。研究人员表示，InvalidPrinter是一种所谓的“完全无法检测”(FUD)恶意软件加载程序，仅由这个特定但未命名的威胁行为者使用。一旦无效打印机到达目标端点，它将首先检查显卡以查看它是否安装在虚拟机上或沙箱中。如果它确定该设备是合法目标，它将解压并启动Aurorainfostealer的副本。

Aurora的创建者声称，它是一款具有“广泛功能”和低防病毒检测率的恶意软件。Malwarebytes表示，实际上，防病毒程序花了几周时间才开始将Aurora安装标记为恶意软件。Aurora用Golang编写，现已在暗网论坛上销售一年多了。研究人员认为，在这次特定的活动中，大约600台设备受到损害。

Malwarebytes威胁情报总监JérômeSegura表示，大多数受害者是土耳其人，因为每次向VirusTotal提交新样本时，它都来自土耳其用户。

“在许多情况下，文件名看起来像是来自编译器的新鲜名称(即build1_enc_s.exe)，”研究人员总结道。