知名清理程序CCleaner遭“借壳”,传播恶意软件
Avast本周揭露了近年来新兴的、以伪造破解软体来递送恶意程式的FakeCrack活动,可以收集个人数据和加密货币资产,并通过数据窃取代理路由互联网流量。Avast表示,他们每天都要阻挡大约1万个恶意的破解版CCleaner Pro,这些潜在的受害者主要位于巴西、印度、印尼与法国。
遭到FakeCrack活动锁定的破解软体都是热门软件,像是游戏、Office工具,或是用来下载多媒体的程序,而此次Avast用来举例的则是CCleaner Pro,这是一款知名的电脑清理软体。
含有恶意软件的 CCleaner Pro搜索结果
研究人员发现,当于Google搜寻上查询「CCleaner Pro Crack」时,第一个结果页面上就有5个链接是由黑客所建立,当使用者点选了这些链接,会引导至一个提供 ZIP 文件下载的登录页面。存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”,其中包含了恶意软件的可执行文件,Avast已经观察到8种不同的可执行文件版本。
值得注意的是,黑客所使用的工具中有一个脚本是专门用来检查剪贴板的,查看剪贴板内容是否出现加密货币钱包地址,若有就把它置换成黑客的账户,不管是Terra、Nano、Ronin或Bitcoincash等加密货币都可被替换,预计黑客已因此得手价值逾5万美元的加密货币。
恶意软件监控剪贴板
该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据,这种攻击对于受害者来说很难检测或意识到。
Avast在报告中指出,攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC),通过在系统中设置这个 IP 地址,每次受害者访问任何列出的域时,流量都会被重定向到攻击者控制下的代理服务器。
由于该活动已经很普遍,并且感染率很高,因此尽量避免下载使用破解软件,即使下载站点在搜索引擎中的排名很高。
