【安全资讯】利用破解软件传播窃取程序及勒索软件的恶意活动
引言
攻击者目前正向寻找破解版本应用程序的受害者提供恶意软件,包括信息窃取程序以及勒索软件等,如Raccoon Stealer和Stop勒索软件。攻击利用托管在WordPress上的许多诱饵页面来进行,这些页面包含指向软件包的“下载”链接。攻击者使用搜索引擎优化等技术,当用户搜索各种软件应用程序的盗版版本时,指向网站的链接会出现在搜索结果的顶部。
简况
攻击利用托管在WordPress上的许多诱饵页面来进行,这些页面包含指向软件包的“下载”链接。点击这些链接后,会将受害者重定向到另一个网站,该网站提供不需要的浏览器插件和恶意软件,如 Raccoon Stealer、Stop 勒索软件、the Glupteba后门, 以及各种伪装成防病毒解决方案的恶意加密挖坑程序。流量交换(也称为分发基础设施)通常需要比特币付款,然后附属公司才能在服务上创建帐户并开始分发安装程序,InstallBest 等网站提供有关“最佳实践”的建议,例如建议不要使用基于 Cloudflare 的主机用于下载程序,以及使用Discord 的 CDN、Bitbucket 或其他云服务中的URL。
研究人员还发现一些服务充当已建立的恶意广告网络的“中间人”。其中一个成熟的流量供应商是 InstallUSD,这是一家位于巴基斯坦的广告网络,承诺为每次交付的软件安装支付高达 5 美元的费用。该网络与许多涉及破解软件站点的恶意软件活动有关。InstallUSD提供恶意软件植入程序的流程如下:
总结
利用破解软件散布恶意病毒的活动已经很常见。今年6月初,一个名为Crackonosh的加密货币矿工被发现滥用该方法安装名为 XMRig 的挖矿包,以秘密利用受感染主机的资源来挖矿。一个月后,研究人员发现了一款名为MosaicLoader的恶意软件背后的攻击者,他们的目标是寻找破解软件的个人,旨在部署能够将受感染的 Windows 系统连接到僵尸网络的全功能后门。