安全公司曝光黑客山寨殺毒軟件 Bitdefender 官網(wǎng)，實(shí)為提供釣魚(yú)木馬

IT之家 5 月 31 日消息，安全公司 DomainTools 發(fā)文，透露有黑客偽造網(wǎng)站聲稱(chēng)提供殺毒軟件[IT江湖]，實(shí)則借機(jī)傳播惡意木馬。

IT之家參考相應(yīng)通報(bào)獲悉，相應(yīng)黑客首先建立山寨 Bitdefender 殺毒軟件[IT江湖]網(wǎng)站，之后通過(guò)付費(fèi)購(gòu)買(mǎi)搜索權(quán)重、廣告等方式推廣相應(yīng)網(wǎng)站。一旦用戶(hù)被騙從網(wǎng)站中下載并運(yùn)行所謂的安裝程序，電腦[IT江湖]便會(huì)感染 VenomRAT 木馬，該木馬會(huì)搜集用戶(hù)電腦[IT江湖]上存儲(chǔ)的密碼憑據(jù)發(fā)送至黑客架設(shè)的服務(wù)器，還會(huì)敞開(kāi)端口為黑客提供遠(yuǎn)程訪(fǎng)問(wèn)通道。

研究人員表示，上述網(wǎng)站與正版頁(yè)面的主要區(qū)別之一是黑客移除了頁(yè)面上“Free”字樣，但除此之外幾乎完全相同。此外，假網(wǎng)站中的“Download For Windows”按鈕，表面上看起來(lái)是指向代碼托管平臺(tái) Bitbucket 的下載鏈接，實(shí)際上用戶(hù)點(diǎn)擊后便會(huì)被重定向到亞馬遜 AWS S3 存儲(chǔ)庫(kù)，下載一個(gè)名為“BitDefender.zip”的壓縮包。

當(dāng)用戶(hù)解壓并運(yùn)行其中的 StoreInstaller.exe 程序后，電腦[IT江湖]便會(huì)運(yùn)行 VenomRAT 木馬，相應(yīng)木馬包含兩個(gè)主要組件：StormKitty 和 SilentTrinity，均為開(kāi)源后滲透框架。其中 StormKitty 用于在系統(tǒng)中收集賬號(hào)和密碼等信息，而 SilentTrinity 則負(fù)責(zé)將竊取的數(shù)據(jù)外傳至黑客設(shè)置的服務(wù)器中，并敞開(kāi)端口便于為黑客遠(yuǎn)程控制訪(fǎng)問(wèn)受害電腦[IT江湖]。

值得一提的是，黑客用來(lái)架設(shè)這個(gè)山寨網(wǎng)站的惡意域名，與此前用于假冒銀行網(wǎng)站、假 IT 服務(wù)網(wǎng)站的域名有交集。研究人員認(rèn)為，相應(yīng)黑客可能同時(shí)坐擁大量山寨網(wǎng)站，進(jìn)行大規(guī)模網(wǎng)絡(luò)釣魚(yú)活動(dòng)。