警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击

admin 2024年8月24日09:40:44评论17 views字数 1265阅读4分13秒阅读模式

        最近,网络安全领域发布了一则重要的警告,揭示了一个精心设计的假冒WinRAR官方网站——win-rar.co。这个伪造网站几乎完全复制了真正的WinRAR官网win-rar.com的外观,以至于那些在输入网址时不小心遗漏了域名中的“m”的用户可能会被误导至此。WinRAR是一款广受欢迎的数据压缩、加密和归档工具,其开发者甚至会因为获得新的付费用户而发表庆祝声明。然而,网络犯罪分子利用了这种易混淆的域名,创建了一个旨在传播恶意软件的虚假网站。

警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击

        当用户不慎访问这个假冒网站时,会被诱骗下载一个名为zx.ps1的恶意PowerShell脚本。一旦该脚本被执行,它将启动一系列复杂的多阶段攻击流程。这些恶意组件托管在一个名为“encrypthub”的GitHub项目中,该项目显然专为这些恶意活动准备了所有必要的组件文件。

警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击

具体的恶意文件包括:

  • Exclusions:这个文件夹中的组件用于配置Windows Defender的安全设置,以绕过防病毒软件的检测;

  • HVNC:利用ngrok等工具设置隐藏的VNC服务器,使攻击者能够远程访问和控制受害者的计算机;

  • Locker:一种勒索软件,它会加密用户的文件,并要求支付赎金以换取解密密钥;

  • Miner:一种加密货币挖矿木马,它利用受害者的计算资源非法开采加密货币;

  • Stealer:Kematian Stealer是一种活跃于GitHub的信息窃取木马,专门用于窃取个人隐私信息;

  • Tgreport:该模块用于向Telegram发送信息,通知攻击者哪些计算机已经被感染;

  • Worm:这种蠕虫病毒能够将恶意代码注入PE格式的文件中,从而进一步扩散恶意软件;

  • Zakrep:这是整个攻击链中的初始脚本,负责启动并协调上述各个恶意组件;

  • Shellcode.ps1:它是win-rar.co上zx.ps1脚本的一个副本,作为感染过程的第一步。

警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击

        值得注意的是,这些恶意脚本在执行时,会首先向一个预先设定好的Telegram账户发送一条消息,其中包含了受感染计算机的具体信息,如计算机名、用户名以及地理位置。这种做法不仅帮助攻击者实时监控感染情况,还便于他们根据反馈信息调整攻击策略,实现更精确的目标定位。

警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击

鉴于此类威胁的高度复杂性和潜在的危害性,网络安全专家强烈建议用户采取以下预防措施:

  • 在下载任何软件前,务必仔细核对网站的URL,确保使用官方网站提供的链接或经过认证的下载来源;

  • 保持操作系统及其安全软件处于最新版本,及时安装所有安全更新和补丁;

  • 定期备份重要数据,以便在遭遇勒索软件等攻击时能够迅速恢复;

  • 对于企业和组织,应加强员工的安全意识培训,提高他们识别网络钓鱼和其他社交工程攻击的能力。

通过这些综合性的防御措施,用户可以显著降低成为此类恶意活动受害者的风险,保护自身免受网络犯罪的侵害。同时,保持对最新网络安全动态的关注,也是避免成为网络攻击目标的关键步骤之一。

原文始发于微信公众号(Khan安全攻防实验室):警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月24日09:40:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕假冒WinRAR网站:虚假域名引致多阶段恶意软件攻击http://cn-sec.com/archives/3091151.html

发表评论

匿名网友 填写信息