恶意软件正”借壳“知名清理程序CCleaner进行传播

发表于:2022-6-10 09:59

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:Zicheng    来源:FreeBuf

分享:
  据Bleeping Computer网站6月8日消息,一种被称为““FakeCrack”的恶意软件,正通过感染流行系统清理程序 CCleaner进行传播。
  据Avast的分析师们发现,这款恶意软件是一个强大的信息窃取程序,可以收集个人数据和加密货币资产,并通过数据窃取代理路由互联网流量。他们报告称,每天从其客户遥测数据中检测到平均 10000 次感染尝试,这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。
  攻击者遵循黑帽SEO技术,在谷歌搜索结果中将其恶意软件下载网站排名靠前,比如以破解版的CCleaner Professional 为例,以吸引更多受害者。一旦受害者点击这些”中毒“的搜索结果,会引导至一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上,例如 filesend.jp 或 mediafire.com。ZIP 使用“1234”之类的弱 PIN 进行密码保护,仅用于保护有效负载免受反病毒检测。存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”,其中包含了恶意软件的可执行文件,Avast已经观察到8种不同的可执行文件版本。
含有恶意软件的 CCleaner Pro搜索结果

  恶意软件会企图窃取存储在网络浏览器中的信息,例如帐户密码、保存的信用卡和加密货币钱包凭证,并会监控剪贴板中复制的钱包地址,将其替换为受恶意软件控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址,包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。
恶意软件监控剪贴板

  该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据,这种攻击对于受害者来说很难检测或意识到。
  Avast在报告中指出,攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC),通过在系统中设置这个 IP 地址,每次受害者访问任何列出的域时,流量都会被重定向到攻击者控制下的代理服务器。
  由于该活动已经很普遍,并且感染率很高,因此尽量避免下载使用破解软件,即使下载站点在搜索引擎中的排名很高。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号