假冒TradingView AI代理网站投放浏览器劫持恶意软件

ARTICLE TITLE: 假冒 TradingView AI 代理网站投放浏览器劫持恶意软件

ARTICLE BODY:

执行摘要

一个冒充 TradingView AI 驱动交易代理的恶意网站正在分发恶意软件，该软件使攻击者能够完全远程控制受害者的网络浏览器。根据 Malwarebytes 的说法，该网站以自动化交易利润的承诺吸引用户，然后分发一个恶意可执行文件，该文件安装了一个浏览器劫持有效载荷，能够窃取凭证、财务数据和加密货币钱包。

技术分析

攻击始于一个旨在模仿合法 TradingView AI 代理的欺诈网站。受害者被提示下载一个名为 TradingView_AI_Agent.exe 的文件。Malwarebytes 分析表明，当运行此可执行文件时，会安装一个恶意浏览器扩展或注入代码，为攻击者提供对受害者浏览器会话的远程控制。这种控制使得攻击者能够实时操纵浏览器活动，包括窃取会话 cookie、登录凭证以及来自财务和加密货币交易所账户的敏感数据。恶意软件的功能有效地为攻击者提供了一个实时、经过身份验证的浏览器，绕过了会话 cookie 有效时的多因素认证（MFA）。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

威胁行为者采用多阶段感染链。通过一个令人信服的网络钓鱼诱饵（T1566）冒充合法金融工具来获得初始访问权限。需要用户执行（T1204）来运行下载的恶意可执行文件。观察到的主要技术是浏览器会话劫持，其中恶意软件窃取或操纵浏览器会话（T1550.004）以保持持久访问并绕过认证机制。目标是凭证访问（T1555）和从财务账户中窃取数据。

威胁行为者背景

源材料没有将此次活动归因于已知的命名威胁行为者。这些战术与针对交易和加密货币领域的个人的财务动机网络犯罪分子一致。

缓解措施与建议

用户应对未经请求的下载保持极度谨慎，特别是来自承诺自动化交易回报的网站。通过直接导航到官方供应商网站来验证交易工具的真实性。安全团队应考虑在网络边界阻止已知的恶意可执行文件哈希和域名，尽管这些在源材料中并未提供。应调整端点检测，以在未授权的浏览器扩展安装或尝试将代码注入浏览器内存的过程中发出警报。