根据安全公司Cyble发布的最新报告,在过去3个月时间里,至少发生了50起玩家因为误连假冒微星Afterburner官方网站后,其信息被窃取、个人装置用于挖矿的安全事件。
这个钓鱼网站的外观是把微星正版网站完全照抄过来,因此外观上看不出差别。 而这些钓鱼的站点,包括但不限于以下域名:
- msi-afterburner–download.site
- msi-afterburner-download.site
- msi-afterburner-download.tech
- msi-afterburner-download.online
- msi-afterburner-download.store
- msi-afterburner-download.ru
- msi-afterburner.download
- mslafterburners.com
- msi-afterburnerr.com
▲过去几个月的受害人数
在某些情况下,黑客所使用的域名并不像微星的品牌,很可能是通过直接信息、论坛和社群媒体帖子进行推广。 例子包括:
- git[.] git[.] skblxin[.] matrizauto[.] net
- git[.] git[.] git[.] skblxin[.] matrizauto[.] net
- git[.] git[.] git[.] git[.] skblxin[.] matrizauto[.] net
- git[.] git[.] git[.] git[.] git[.] skblxin[.] matrizauto[.] net
用户一旦连接到这些钓鱼网站下载MSSI Afterburner安装档案(MSIAfterburnerSetup.msi),在安装过程中会悄悄地投放和运行RedLine信息窃取恶意软件和XMR挖矿程序。
挖矿是通过本地 Program Files 目录下一个名为「browser_assistant.exe」的 64 位 Python 可执行文件安装的,该档案在安装程序建立的处理程序中注入了一个壳代码。
XMR矿工使用的参数之一是 「CPU 最大线程」 设定为20,高于大多数现代CPU线程数,因此它被设定为捕获所有可用的功率。
所以就算看到了熟悉的官网,还是要注意一下网址是否有问题,以免不小心让自己的电脑成为别人的矿机。
赞 (0)
打赏
微信扫一扫
微信扫一扫
