安全公司曝光黑客山寨殺毒軟件 Bitdefender 官網(wǎng)，實(shí)為提供釣魚木馬

IT之家 5 月 31 日消息，安全公司 DomainTools 發(fā)文，透露有黑客偽造網(wǎng)站聲稱提供殺毒軟件[IT江湖]，實(shí)則借機(jī)傳播惡意木馬。

IT之家參考相應(yīng)通報(bào)獲悉，相應(yīng)黑客首先建立山寨 Bitdefender 殺毒軟件[IT江湖]網(wǎng)站，之后通過付費(fèi)購買搜索權(quán)重、廣告等方式推廣相應(yīng)網(wǎng)站。一旦用戶被騙從網(wǎng)站中下載并運(yùn)行所謂的安裝程序，電腦[IT江湖]便會感染 VenomRAT 木馬，該木馬會搜集用戶電腦[IT江湖]上存儲的密碼憑據(jù)發(fā)送至黑客架設(shè)的服務(wù)器，還會敞開端口為黑客提供遠(yuǎn)程訪問通道。

研究人員表示，上述網(wǎng)站與正版頁面的主要區(qū)別之一是黑客移除了頁面上“Free”字樣，但除此之外幾乎完全相同。此外，假網(wǎng)站中的“Download For Windows”按鈕，表面上看起來是指向代碼托管平臺 Bitbucket 的下載鏈接，實(shí)際上用戶點(diǎn)擊后便會被重定向到亞馬遜 AWS S3 存儲庫，下載一個名為“BitDefender.zip”的壓縮包。

當(dāng)用戶解壓并運(yùn)行其中的 StoreInstaller.exe 程序后，電腦[IT江湖]便會運(yùn)行 VenomRAT 木馬，相應(yīng)木馬包含兩個主要組件：StormKitty 和 SilentTrinity，均為開源后滲透框架。其中 StormKitty 用于在系統(tǒng)中收集賬號和密碼等信息，而 SilentTrinity 則負(fù)責(zé)將竊取的數(shù)據(jù)外傳至黑客設(shè)置的服務(wù)器中，并敞開端口便于為黑客遠(yuǎn)程控制訪問受害電腦[IT江湖]。

值得一提的是，黑客用來架設(shè)這個山寨網(wǎng)站的惡意域名，與此前用于假冒銀行網(wǎng)站、假 IT 服務(wù)網(wǎng)站的域名有交集。研究人員認(rèn)為，相應(yīng)黑客可能同時坐擁大量山寨網(wǎng)站，進(jìn)行大規(guī)模網(wǎng)絡(luò)釣魚活動。