IT之家 5 月 31 日消息,安全公司 DomainTools 发文,透露有黑客伪造网站声称提供杀毒软件,实则借机传播恶意木马。
IT之家参考相应通报获悉,相应黑客首先建立山寨 Bitdefender 杀毒软件网站,之后通过付费购买搜索权重、广告等方式推广相应网站。一旦用户被骗从网站中下载并运行所谓的安装程序,电脑便会感染 VenomRAT 木马,该木马会搜集用户电脑上存储的密码凭据发送至黑客架设的服务器,还会敞开端口为黑客提供远程访问通道。
研究人员表示,上述网站与正版页面的主要区别之一是黑客移除了页面上“Free”字样,但除此之外几乎完全相同。此外,假网站中的“Download For Windows”按钮,表面上看起来是指向代码托管平台 Bitbucket 的下载链接,实际上用户点击后便会被重定向到亚马逊 AWS S3 存储库,下载一个名为“BitDefender.zip”的压缩包。
▲ 左为山寨网站,右为正版网站当用户解压并运行其中的 StoreInstaller.exe 程序后,电脑便会运行 VenomRAT 木马,相应木马包含两个主要组件:StormKitty 和 SilentTrinity,均为开源后渗透框架。其中 StormKitty 用于在系统中收集账号和密码等信息,而 SilentTrinity 则负责将窃取的数据外传至黑客设置的服务器中,并敞开端口便于为黑客远程控制访问受害电脑。
值得一提的是,黑客用来架设这个山寨网站的恶意域名,与此前用于假冒银行网站、假 IT 服务网站的域名有交集。研究人员认为,相应黑客可能同时坐拥大量山寨网站,进行大规模网络钓鱼活动。
0 条