网络安全研究人员发现了多个正在进行的恶意软件分发活动,这些活动针对寻求下载盗版软件副本的互联网用户。
该活动使用 SEO 投毒和恶意广告将恶意共享软件站点推高在 Google 搜索结果中,推广假冒软件以及破解和产品激活密钥生成器。
恶意的高排名搜索结果 (Zscaler)
据发现受害者的 Zscaler 称,用于在正在进行的活动中引诱受害者的软件包括以下内容:
Adobe Acrobat Pro
3DMark
3DVista 虚拟旅游专业版
7-数据恢复套件
MAGIX 声力专业版
Wondershare Fone 博士
在许多情况下,伪装成承诺软件安装程序的恶意可执行文件托管在文件托管服务上,因此登录页面会将受害者重定向到其他服务以下载文件。
网站重定向图 (Zscaler)
Zscaler 报告的 IoC 部分中提到的一些虚假共享软件网站:
xproductkey[.]com
allcracks[.]org
prolicensekeys[.]com
deepprostore[.]com
蒸汽解锁[.]一个
getmacos[.]org
传递恶意文件的重定向站点名称不那么花哨,并且位于“xyz”和“cfd”顶级域上。
下载的文件是包含一个 1.3MB 密码保护的 ZIP 文件以逃避 AV 扫描和一个带有密码的 TXT 文件。
使用字节填充将解压后的 ZIP 气球大小增加到 600MB 是许多恶意软件作者遵循的常见反分析做法。
包含的可执行文件是一个恶意软件加载程序,它会生成一个编码的 PowerShell 命令,该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe) 以逃避沙盒分析。
cmd.exe 进程下载一个 JPG 文件,该文件实际上是一个 DLL 文件,其内容反向排列。
获取恶意图像文件 (Zscaler)
加载程序以正确的顺序重新排列内容,派生出最终的 DLL,即 RedLine Stealer 有效负载,并将其加载到当前线程中。
Redline 窃取程序是一种强大的信息窃取恶意软件,它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭据、计算机详细信息等。
在某些情况下,Zscaler 注意到威胁参与者丢弃了“RecordBreaker”窃取恶意软件的副本,其中包含用于混淆和避免检测的 Themida 工具。
RecordBreaker 所针对的信息同样广泛,因此最终的有效载荷对受害者来说并没有太大的区别。
RecordBreaker 窃取浏览器 cookie (Zscaler)
为了避免任何一种情况,请避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可访问付费软件的内容。
即使做出这些虚假承诺的网站在搜索结果中的排名很高,但这并不能使它们合法或值得信赖。
6 月,我们报道了一个类似的“黑帽 SEO”活动,传播含有信息窃取恶意软件的 CCleaner Pro 中毒盗版副本。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 提供信息窃取恶意软件的盗版3DMark基准测试工具
