- 9 6 月, 2022
- Posted by: admin
- Category: 教學資訊
竊取您的密碼、信用卡和加密錢包的惡意軟件正在通過 CCleaner Pro Windows 優化程序的盜版副本的搜索結果進行推廣。
這種新的惡意軟件分發活動被稱為“FakeCrack”,由 Avast 的分析師發現,
他們報告稱,每天從其客戶遙測數據中檢測到平均 10,000 次感染嘗試。這些受害者中的大多數來自法國、巴西、印度尼西亞和印度。
此活動中分發的惡意軟件是一種強大的信息竊取程序,可以收集個人數據和加密貨幣資產,並通過數據竊取代理路由互聯網流量
黑帽 SEO 活動
威脅行為者遵循黑帽 SEO 技術,在谷歌搜索結果中將他們的惡意軟件分發網站排名靠前,
這樣更多的人將被誘騙下載帶花邊的可執行文件。
Avast 看到的誘惑是 CCleaner Professional 的破解版,
這是一種流行的 Windows 系統清潔器和性能優化器,仍然被許多用戶認為是“必備”實用程序。
中毒的搜索結果會引導受害者瀏覽多個網站,這些網站最終會顯示一個提供 ZIP 文件下載的登錄頁面。
此登錄頁面通常託管在合法的文件託管平台上,例如 filesend.jp 或 mediafire.com。
ZIP 使用“1234”之類的弱 PIN 進行密碼保護,僅用於保護有效負載免受反病毒檢測。
存檔中的文件通常被命名為“setup.exe”或“cracksetup.exe”,但 Avast 已經看到在此活動中使用了八種不同的可執行文件。
一種危險的信息竊取惡意軟件
惡意軟件受害者被誘騙安裝企圖竊取存儲在網絡瀏覽器中的信息,例如帳戶密碼、保存的信用卡和加密貨幣錢包憑證。
此外,它會監控剪貼板中復制的錢包地址,並將其替換為受惡意軟件運營商控制的地址以轉移支付。
此剪貼板劫持功能適用於各種加密貨幣地址,包括比特幣、以太坊、Cardano、Terra、Nano、Ronin 和比特幣現金地址。
該惡意軟件還使用代理通過中間人攻擊來竊取加密貨幣市場帳戶憑據,這種攻擊對於受害者來說很難檢測或意識到。
“攻擊者能夠設置 IP 地址來下載惡意代理自動配置腳本 (PAC),” Avast 在報告中解釋道。
“通過在系統中設置這個 IP 地址,每次受害者訪問任何列出的域時,流量都會被重定向到攻擊者控制下的代理服務器。”
此代理機制是通過“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”中的新註冊表項添加的。
受害者可以通過在 Windows 設置上導航到網絡和互聯網並將“使用代理服務器”選項切換為關閉來禁用它。
該活動已經很普遍,並且感染率很高,因此請避免從任何地方下載破解軟件,即使下載站點在 Google 搜索中的排名很高。
參考來源:https://www.bleepingcomputer.com/news/security/poisoned-ccleaner-search-results-spread-information-stealing-malware/