加密矿工和 RedLine 信息窃取者通过虚假的 MSI Afterburner 传播 媒体
假冒 MSI Afterburner 的网站针对 Windows 玩家进行攻击
重要资讯摘要
超过 50 个伪装成 MSI Afterburner GPU 工具的网站针对使用 Windows 设备的高级用户和玩家散布加密货币挖矿和 RedLine 盗取信息的恶意软件。这些网站的某些域名与 MSI 有联系,但也有一些没有,可能通过社交媒体、论坛和直接消息进行宣传。安装档案会将合法的 Afterburner 程序与 XMR 挖矿程序和 RedLine 一并安装。
根据 Cyble 的报告,这些假冒网站的运行方式如下:
一元机场推荐安装伪造的 MSI Afterburner 文件将会下载一个合法的 Afterburner 程序,并同时安装 XMR 挖矿工具和 RedLine。加密货币挖矿仅在 CPU 空闲一小时后开始进行,并通过 cinitstealthtargets 参数暂停挖矿活动,该参数也用于在启动隐形程序时删除 GPU 记忆体,包括防病毒系统、进程监控器和硬件资源检视器。RedLine 则在此过程中窃取密码、浏览器数据、Cookies 和加密货币钱包资料。根据 VirusTotal 的报告,只有 56 种安全产品中有 3 种能够检测到这个恶意的安装档,而 67 种中仅有 2 种能够识别出启动挖矿工具的可执行文件。
威胁类型描述假冒网站伪装成 MSI Afterburner 的网站加密货币挖矿工具XMR 挖矿程序盗取信息的恶意软件RedLine,窃取个人敏感数据提醒:用户应该在下载任何应用程序之前进行仔细的检查,以确保安全并避免成为这种攻击的受害者。