知名清理程序CCleaner遭“借殼”,傳播惡意軟件
Avast本周揭露了近年來新興的、以偽造破解軟體來遞送惡意程式的FakeCrack活動,可以收集個人數據和加密貨幣資產,并通過數據竊取代理路由互聯網流量。Avast表示,他們每天都要阻擋大約1萬個惡意的破解版CCleaner Pro,這些潛在的受害者主要位于巴西、印度、印尼與法國。
遭到FakeCrack活動鎖定的破解軟體都是熱門軟件,像是游戲、Office工具,或是用來下載多媒體的程序,而此次Avast用來舉例的則是CCleaner Pro,這是一款知名的電腦清理軟體。
含有惡意軟件的 CCleaner Pro搜索結果
研究人員發現,當于Google搜尋上查詢「CCleaner Pro Crack」時,第一個結果頁面上就有5個鏈接是由黑客所建立,當使用者點選了這些鏈接,會引導至一個提供 ZIP 文件下載的登錄頁面。存檔中的文件通常被命名為“setup.exe”或“cracksetup.exe”,其中包含了惡意軟件的可執行文件,Avast已經觀察到8種不同的可執行文件版本。
值得注意的是,黑客所使用的工具中有一個腳本是專門用來檢查剪貼板的,查看剪貼板內容是否出現加密貨幣錢包地址,若有就把它置換成黑客的賬戶,不管是Terra、Nano、Ronin或Bitcoincash等加密貨幣都可被替換,預計黑客已因此得手價值逾5萬美元的加密貨幣。
惡意軟件監控剪貼板
該惡意軟件還使用代理通過中間人攻擊來竊取加密貨幣市場帳戶憑據,這種攻擊對于受害者來說很難檢測或意識到。
Avast在報告中指出,攻擊者能夠設置 IP 地址來下載惡意代理自動配置腳本 (PAC),通過在系統中設置這個 IP 地址,每次受害者訪問任何列出的域時,流量都會被重定向到攻擊者控制下的代理服務器。
由于該活動已經很普遍,并且感染率很高,因此盡量避免下載使用破解軟件,即使下載站點在搜索引擎中的排名很高。
