【安全资讯】利用破解软件传播窃取程序及勒索软件的恶意活动

引言

攻击者目前正向寻找破解版本应用程序的受害者提供恶意软件，包括信息窃取程序以及勒索软件等，如Raccoon Stealer和Stop勒索软件。攻击利用托管在WordPress上的许多诱饵页面来进行，这些页面包含指向软件包的“下载”链接。攻击者使用搜索引擎优化等技术，当用户搜索各种软件应用程序的盗版版本时，指向网站的链接会出现在搜索结果的顶部。

简况

攻击利用托管在WordPress上的许多诱饵页面来进行，这些页面包含指向软件包的“下载”链接。点击这些链接后，会将受害者重定向到另一个网站，该网站提供不需要的浏览器插件和恶意软件，如 Raccoon Stealer、Stop 勒索软件、the Glupteba后门, 以及各种伪装成防病毒解决方案的恶意加密挖坑程序。流量交换（也称为分发基础设施）通常需要比特币付款，然后附属公司才能在服务上创建帐户并开始分发安装程序，InstallBest 等网站提供有关“最佳实践”的建议，例如建议不要使用基于 Cloudflare 的主机用于下载程序，以及使用Discord 的 CDN、Bitbucket 或其他云服务中的URL。

研究人员还发现一些服务充当已建立的恶意广告网络的“中间人”。其中一个成熟的流量供应商是 InstallUSD，这是一家位于巴基斯坦的广告网络，承诺为每次交付的软件安装支付高达 5 美元的费用。该网络与许多涉及破解软件站点的恶意软件活动有关。InstallUSD提供恶意软件植入程序的流程如下：

总结

利用破解软件散布恶意病毒的活动已经很常见。今年6月初，一个名为Crackonosh的加密货币矿工被发现滥用该方法安装名为 XMRig 的挖矿包，以秘密利用受感染主机的资源来挖矿。一个月后，研究人员发现了一款名为MosaicLoader的恶意软件背后的攻击者，他们的目标是寻找破解软件的个人，旨在部署能够将受感染的 Windows 系统连接到僵尸网络的全功能后门。