伪造的MSI Afterburner以Windows游戏玩家为目标，带有挖矿程序、信息窃取程序-VPS资讯_海外云服务器资讯_海外服务器资讯

微星加力

Windows 游戏玩家和高级用户正成为伪造的 MSI Afterburner 下载门户的目标，用加密货币矿工和 RedLine 信息窃取恶意软件感染用户。

MSI Afterburner 是一个 GPU 实用程序，可让您配置超频、创建风扇配置文件、执行视频捕获以及监控已安装显卡的温度和 CPU 使用率。

虽然由 MSI 创建，但几乎所有图形卡的用户都可以使用该实用程序，从而导致全球数百万游戏玩家使用它来调整设置以提高游戏性能，使他们的 GPU 更安静，并实现更低的温度。

然而，该工具的流行也使其成为威胁行为者的良好目标，他们希望利用可被劫持以进行加密货币挖掘的强大 GPU 来瞄准 Windows 用户。

模拟 MSI Afterburner

根据 Cyble 的一份新报告，在过去三个月中，超过 50 个冒充 MSI Afterburner 官方网站的网站出现在网上，将 XMR (Monero) 矿工与信息窃取恶意软件一起推送。

该活动使用的域可能会诱使用户认为他们正在访问合法的 MSI 网站，并且更容易使用 BlackSEO 进行推广。下面列出了 Cyble 发现的一些域名：

在其他情况下，这些域与 MSI 品牌并不相似，可能是通过直接消息、论坛和社交媒体帖子进行推广的。例子包括：

当执行伪造的 MSI Afterburner 安装文件 (MSIAfterburnerSetup.msi) 时，将安装合法的 Afterburner 程序。然而，安装程序也会悄悄地在受感染的设备中投放并运行 RedLine 信息窃取恶意软件和 XMR 挖矿程序。

挖矿程序通过本地 Program Files 目录中名为“browser_assistant.exe”的 64 位 Python 可执行文件安装，它将 shell 注入到安装程序创建的进程中。

此 shellcode 从 GitHub 存储库中检索 XMR 矿工，并将其直接注入到 explorer.exe 进程的内存中。由于矿工从不接触磁盘，因此被安全产品检测到的机会被降到最低。

矿工使用硬编码的用户名和密码连接到其矿池，然后收集基本系统数据并将其泄露给威胁参与者

XMR 矿工使用的参数之一是“CPU 最大线程数”设置为 20，超过了大多数现代 CPU 线程数，因此它被设置为捕获所有可用功率。

矿工设置为仅在 CPU 进入空闲状态 60 分钟后才开始挖矿，这意味着受感染的计算机未运行任何资源密集型任务，很可能无人看管。

此外，它还使用“-cinit-stealth-targets”参数，这是一个选项，可以在启动“隐身目标”下列出的特定程序时暂停挖矿活动并清除 GPU 内存。

这些可能是进程监视器、防病毒工具、硬件资源查看器和其他帮助受害者发现恶意进程的工具。

在这种情况下，矿工试图隐藏的 Windows 应用程序是 Taskmgr.exe、ProcessHacker.exe、perfmon.exe、procexp.exe 和 procexp64.exe。

当矿工悄悄劫持你的计算机资源来挖掘 Monero 时，RedLine 已经在后台运行，窃取你的密码、cookie、浏览器信息，并可能窃取任何加密货币钱包。

不幸的是，几乎所有这个假冒的 MSI Afterburner 活动的组件都没有被防病毒软件检测到。

VirusTotal 报告说，恶意的“MSIAfterburnerSetup.msi” 安装文件仅被 56 款安全产品中的 3 款检测到，而“ browser_assistant.exe ”仅被 67 款产品中的 2 款检测到。

为了远离矿工和恶意软件，请直接从官方网站下载工具，而不是在论坛、社交媒体或直接消息中共享的网站。