网络安全研究人员发现了多个正在进行的恶意软件分发活动,这些活动针对寻求下载盗版软件副本的互联网用户。
该活动使用 SEO 投毒和恶意广告将恶意共享软件站点推高在 Google 搜索结果中,推广假冒软件以及破解和产品激活密钥生成器。
据发现受害者的 Zscaler 称,用于在正在进行的活动中引诱受害者的软件包括以下内容:
-
Adobe Acrobat Pro
-
3DMark
-
3DVista Virtual Tour Pro
-
7-Data Recovery Suite
-
MAGIX Sound Force Pro
-
Wondershare Dr.Fone
在许多情况下,伪装成承诺软件安装程序的恶意可执行文件托管在文件托管服务上,因此登录页面会将受害者重定向到其他服务以下载文件。
Zscaler 报告的 IoC 部分中提到的一些虚假共享软件网站:
-
xproductkey.com
-
allcracks.org
-
prolicensekeys.com
-
deepprostore.com
-
steamunlocked.one
-
getmacos.org
传递恶意文件的重定向站点名称不那么花哨,并且位于“xyz”和“cfd”顶级域上。
下载的文件是包含一个 1.3MB 密码保护的 ZIP 文件以逃避 AV 扫描和一个带有密码的 TXT 文件。
使用字节填充将解压后的 ZIP 大小增加到 600MB 是许多恶意软件作者遵循的常见反分析做法。
包含的可执行文件是一个恶意软件加载程序,它会生成一个编码的 PowerShell 命令,该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe),以逃避沙盒分析。
cmd.exe 进程下载一个 JPG 文件,该文件实际上是一个 DLL 文件,其内容反向排列。
加载程序以正确的顺序重新排列内容,派生出最终的 DLL,即 RedLine Stealer 有效负载,并将其加载到当前线程中。
Redline 窃取程序是一种强大的信息窃取恶意软件,它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭据、计算机详细信息等。
在某些情况下,Zscaler 注意到威胁参与者丢弃了“RecordBreaker”窃取恶意软件的副本,其中包含用于混淆和避免检测的 Themida 工具。
RecordBreaker 所针对的信息同样广泛,因此最终的有效载荷对受害者来说并没有太大的区别。
为了避免任何一种情况,请避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可访问付费软件的内容。
即使做出这些虚假承诺的网站在搜索结果中的排名很高,但这并不能使它们合法或值得信赖。
概括:
通过针对寻求非法下载盗版软件的受害者,分发信息窃取者的威胁行为者正在获得动力。由于获取和使用盗版软件是违法的,因此许多参与此类行为的人会暂停对其下载来源的适当审查。结果,无论他们是好人还是坏人,全世界的受害者都在为一个错误的决定付出他们的私人信息的代价。
发现用于分发这些威胁的技术并从两个不同的示例中解开感染链,以了解这些恶意软件开发人员如何操作并使用最新技术来避免检测。
介绍:
自 Napster 的推出教会互联网如何获取和共享在线数字内容以来已有 20 多年,而自弹性海盗湾洪流网站开始允许访问者查找和下载被盗媒体以及解锁或“破解”版本以来已有近十年的软件。这些年来,尽管有许多诉讼和禁令,人们仍然非常普遍地从阴暗的共享软件站点下载盗版软件,而不是出于非商业目的购买许可证。今天,我们通常会看到托管破解软件(如 Microsoft Office 和 Windows 安装程序)的网站出现在索引的 Google 搜索结果和广告横幅中。
最近,Zscaler ThreatLabz 研究人员发现了多个正在进行的威胁活动,这些活动通过针对试图下载盗版软件应用程序的受害者来分发信息窃取恶意软件。图 1 中的屏幕截图显示了谷歌搜索结果,其中包含这些假冒网站,看起来就像真正的盗版托管网站。这种威胁如此成功的部分原因在于它针对参与非法但常见活动的个人,因为许多用户无法识别一个临时弹出式网站兜售非法软件下载与另一个兜售背后的意图。托管恶意软件下载。以下部分提供了对属于此类别的两个不同的活动信息窃取程序感染链的详细技术分析。
https://www.zscaler.com/blogs/security-research/making-victims-pay-infostealer-malwares-mimick-pirated-software-download
原文始发于微信公众号(网络研究院):提供信息窃取恶意软件的盗版3DMark基准测试工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论