恶意程序正潜入盗版3DMark等软件进行传播

安全 应用安全
据报道,网络安全研究人员发现了多个恶意软件传播活动,目标针对下载盗版软件的互联网用户。

据报道,网络安全研究人员发现了多个恶意软件传播活动,目标针对下载盗版软件的互联网用户。

该活动使用 SEO 投毒和恶意广告推高这些“带毒”的共享软件网站在 Google 搜索结果中的排名,据发现此事件的Zscaler 称,这些盗版软件包括了3DMark、Adobe Acrobat Pro等时下热门应用。多数情况下,这些软件安装程序的恶意可执行文件位于文件托管服务上,因此登陆页面将受害者重定向到其他服务以下载这些文件。

含恶意盗版软件的高排名搜索结果

网站重定向流程图

这些传播恶意文件的重定向站点名称不那么花哨,并且位于“xyz”和“cfd”顶级域上。下载的文件包含一个 1.3MB、有密码保护的 ZIP 文件,以此来逃避 AV 扫描,此外还附带一个包含解密密码的文本文件。由于采用字节填充技术,ZIP解压后的文件大小有600M,这是许多恶意软件遵循的常见反分析做法,其中包含的可执行文件是一个恶意软件加载程序,它会生成一个编码的 PowerShell 命令,该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe),以逃避沙盒分析。

cmd.exe 进程会下载一个 JPG 文件,该文件实际上是一个 DLL 文件,其内容反向排列。加载程序以正确的顺序重新排列内容,派生出最终的 DLL,即 RedLine Stealer 有效负载,并将其加载到当前线程中。

获取恶意图像文

RedLine Stealer是一种强大的信息窃取恶意软件,它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等。

今年6月,FreeBuf也曾报道过类似事件,信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播。

为了避免上述情况发生,用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。

责任编辑:未丽燕 来源: FreeBuf.com
相关推荐

2021-12-06 09:26:03

黑客恶意程序网络攻击

2022-06-09 10:42:48

恶意软件网络攻击网络安全

2024-06-04 00:00:10

恶意软件网络攻击

2022-08-31 08:24:19

恶意软件网络攻击

2021-09-17 09:34:29

恶意程序WSL黑客

2018-09-07 14:32:17

NVIDIARTX 20DLSS

2012-12-21 13:15:27

2023-07-17 18:01:35

2022-02-18 15:22:17

黑客恶意软件

2016-12-26 15:28:34

恶意程序PowerShellA程序

2023-03-13 09:05:32

AMD显卡驱动

2023-11-10 16:14:29

2023-06-27 08:47:20

2013-03-07 09:26:47

2011-08-11 11:26:11

2012-10-24 17:21:46

2011-03-30 09:20:08

2024-08-06 09:48:49

2012-06-04 09:16:39

2015-01-06 11:37:58

恶意程序查杀Rootkit Hun
点赞
收藏

51CTO技术栈公众号