最近,网络安全领域发布了一则重要的警告,揭示了一个精心设计的假冒WinRAR官方网站——win-rar.co。这个伪造网站几乎完全复制了真正的WinRAR官网win-rar.com的外观,以至于那些在输入网址时不小心遗漏了域名中的“m”的用户可能会被误导至此。WinRAR是一款广受欢迎的数据压缩、加密和归档工具,其开发者甚至会因为获得新的付费用户而发表庆祝声明。然而,网络犯罪分子利用了这种易混淆的域名,创建了一个旨在传播恶意软件的虚假网站。
当用户不慎访问这个假冒网站时,会被诱骗下载一个名为zx.ps1的恶意PowerShell脚本。一旦该脚本被执行,它将启动一系列复杂的多阶段攻击流程。这些恶意组件托管在一个名为“encrypthub”的GitHub项目中,该项目显然专为这些恶意活动准备了所有必要的组件文件。
具体的恶意文件包括:
-
Exclusions:这个文件夹中的组件用于配置Windows Defender的安全设置,以绕过防病毒软件的检测;
-
HVNC:利用ngrok等工具设置隐藏的VNC服务器,使攻击者能够远程访问和控制受害者的计算机;
-
Locker:一种勒索软件,它会加密用户的文件,并要求支付赎金以换取解密密钥;
-
Miner:一种加密货币挖矿木马,它利用受害者的计算资源非法开采加密货币;
-
Stealer:Kematian Stealer是一种活跃于GitHub的信息窃取木马,专门用于窃取个人隐私信息;
-
Tgreport:该模块用于向Telegram发送信息,通知攻击者哪些计算机已经被感染;
-
Worm:这种蠕虫病毒能够将恶意代码注入PE格式的文件中,从而进一步扩散恶意软件;
-
Zakrep:这是整个攻击链中的初始脚本,负责启动并协调上述各个恶意组件;
-
Shellcode.ps1:它是win-rar.co上zx.ps1脚本的一个副本,作为感染过程的第一步。
值得注意的是,这些恶意脚本在执行时,会首先向一个预先设定好的Telegram账户发送一条消息,其中包含了受感染计算机的具体信息,如计算机名、用户名以及地理位置。这种做法不仅帮助攻击者实时监控感染情况,还便于他们根据反馈信息调整攻击策略,实现更精确的目标定位。
鉴于此类威胁的高度复杂性和潜在的危害性,网络安全专家强烈建议用户采取以下预防措施:
-
在下载任何软件前,务必仔细核对网站的URL,确保使用官方网站提供的链接或经过认证的下载来源;
-
保持操作系统及其安全软件处于最新版本,及时安装所有安全更新和补丁;
-
定期备份重要数据,以便在遭遇勒索软件等攻击时能够迅速恢复;
-
对于企业和组织,应加强员工的安全意识培训,提高他们识别网络钓鱼和其他社交工程攻击的能力。
通过这些综合性的防御措施,用户可以显著降低成为此类恶意活动受害者的风险,保护自身免受网络犯罪的侵害。同时,保持对最新网络安全动态的关注,也是避免成为网络攻击目标的关键步骤之一。
原文始发于微信公众号(Khan安全攻防实验室):警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论