提供信息窃取恶意软件的盗版3DMark基准测试工具

admin 2022年8月25日10:28:35安全工具评论5 views1922字阅读6分24秒阅读模式

提供信息窃取恶意软件的盗版3DMark基准测试工具


网络安全研究人员发现了多个正在进行的恶意软件分发活动,这些活动针对寻求下载盗版软件副本的互联网用户。


该活动使用 SEO 投毒和恶意广告将恶意共享软件站点推高在 Google 搜索结果中,推广假冒软件以及破解和产品激活密钥生成器。


提供信息窃取恶意软件的盗版3DMark基准测试工具


恶意的高排名搜索结果



据发现受害者的 Zscaler 称,用于在正在进行的活动中引诱受害者的软件包括以下内容:


  • Adobe Acrobat Pro

  • 3DMark

  • 3DVista Virtual Tour Pro

  • 7-Data Recovery Suite

  • MAGIX Sound Force Pro

  • Wondershare Dr.Fone


在许多情况下,伪装成承诺软件安装程序的恶意可执行文件托管在文件托管服务上,因此登录页面会将受害者重定向到其他服务以下载文件。


提供信息窃取恶意软件的盗版3DMark基准测试工具

网站重定向图


Zscaler 报告的 IoC 部分中提到的一些虚假共享软件网站:


  • xproductkey.com

  • allcracks.org

  • prolicensekeys.com

  • deepprostore.com

  • steamunlocked.one

  • getmacos.org


传递恶意文件的重定向站点名称不那么花哨,并且位于“xyz”和“cfd”顶级域上。


下载的文件是包含一个 1.3MB 密码保护的 ZIP 文件以逃避 AV 扫描和一个带有密码的 TXT 文件。


使用字节填充将解压后的 ZIP 大小增加到 600MB 是许多恶意软件作者遵循的常见反分析做法。


包含的可执行文件是一个恶意软件加载程序,它会生成一个编码的 PowerShell 命令,该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe),以逃避沙盒分析。

cmd.exe 进程下载一个 JPG 文件,该文件实际上是一个 DLL 文件,其内容反向排列。


提供信息窃取恶意软件的盗版3DMark基准测试工具

获取恶意图像文件


加载程序以正确的顺序重新排列内容,派生出最终的 DLL,即 RedLine Stealer 有效负载,并将其加载到当前线程中。


Redline 窃取程序是一种强大的信息窃取恶意软件,它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭据、计算机详细信息等。


在某些情况下,Zscaler 注意到威胁参与者丢弃了“RecordBreaker”窃取恶意软件的副本,其中包含用于混淆和避免检测的 Themida 工具。


RecordBreaker 所针对的信息同样广泛,因此最终的有效载荷对受害者来说并没有太大的区别。


提供信息窃取恶意软件的盗版3DMark基准测试工具

RecordBreaker 窃取浏览器 cookie


为了避免任何一种情况,请避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可访问付费软件的内容。


即使做出这些虚假承诺的网站在搜索结果中的排名很高,但这并不能使它们合法或值得信赖。



提供信息窃取恶意软件的盗版3DMark基准测试工具

概括:


通过针对寻求非法下载盗版软件的受害者,分发信息窃取者的威胁行为者正在获得动力。由于获取和使用盗版软件是违法的,因此许多参与此类行为的人会暂停对其下载来源的适当审查。结果,无论他们是好人还是坏人,全世界的受害者都在为一个错误的决定付出他们的私人信息的代价。


发现用于分发这些威胁的技术并从两个不同的示例中解开感染链,以了解这些恶意软件开发人员如何操作并使用最新技术来避免检测。

 

介绍:

自 Napster 的推出教会互联网如何获取和共享在线数字内容以来已有 20 多年,而自弹性海盗湾洪流网站开始允许访问者查找和下载被盗媒体以及解锁或“破解”版本以来已有近十年的软件。这些年来,尽管有许多诉讼和禁令,人们仍然非常普遍地从阴暗的共享软件站点下载盗版软件,而不是出于非商业目的购买许可证。今天,我们通常会看到托管破解软件(如 Microsoft Office 和 Windows 安装程序)的网站出现在索引的 Google 搜索结果和广告横幅中。

 

最近,Zscaler ThreatLabz 研究人员发现了多个正在进行的威胁活动,这些活动通过针对试图下载盗版软件应用程序的受害者来分发信息窃取恶意软件。图 1 中的屏幕截图显示了谷歌搜索结果,其中包含这些假冒网站,看起来就像真正的盗版托管网站。这种威胁如此成功的部分原因在于它针对参与非法但常见活动的个人,因为许多用户无法识别一个临时弹出式网站兜售非法软件下载与另一个兜售背后的意图。托管恶意软件下载。以下部分提供了对属于此类别的两个不同的活动信息窃取程序感染链的详细技术分析。 

https://www.zscaler.com/blogs/security-research/making-victims-pay-infostealer-malwares-mimick-pirated-software-download

原文始发于微信公众号(网络研究院):提供信息窃取恶意软件的盗版3DMark基准测试工具

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月25日10:28:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  提供信息窃取恶意软件的盗版3DMark基准测试工具 http://cn-sec.com/archives/1253013.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: