非法下載網站充滿了惡意軟體,從事這種行為的人正在冒很大的風險。這並不新鮮。但最近發現了一種相當令人討厭的惡意軟體,值得研究。因此,幾天前,安全研究人員 0xffff0800 分析了從海盜灣下載的 torrent 檔案。在這種情況下,它是“蜘蛛網中的女孩”,傳奇的最後一部分千年。
該檔案在駭客平台上廣泛共享,實際上是一個 Windows 捷徑 (.LNK),一旦單擊,就會執行 Powershell 腳本。 Cozy Bear 駭客組織廣泛使用的感染技術,這就是為什麼這個名稱出現在一些防毒引擎給出的標籤中的原因。
https://twitter.com/0xffff0800/status/1083585136833179648
顯然,這不是 Cozy Bear 的作品,Cozy Bear 是俄羅斯聯邦安全局 (FSB) 的產物,它以謹慎且有針對性的方式進行網路攻擊。正如研究人員尼克·卡爾(Nick Carr)指出的那樣,這種感染技術已經被其他駭客採用,現在幾乎無處不在。
嘿,很好的發現,但這些在盜版中很常見 – 這些不是 APT29。
這是不久前的另一個例子:https://t.co/QxPVIb1fZz後@felixw3000有關模擬 APT29 LNK 檔案的部落格文章已發布,還有更多內容出現。
— 尼克卡爾 (@ItsReallyNick)2019 年 1 月 11 日
電腦發出蜂鳴聲進一步分析該惡意軟體,發現了一大堆非常煩人的功能。首先,它會透過偶爾安裝的惡意擴充功能來控制受害者的瀏覽器。
這些擴展使得偽造使用者造訪的網頁成為可能。因此,惡意軟體會將廣告注入Google搜尋引擎的主頁。它還會修改Google搜尋結果以推廣某些產品。因此,搜尋關鍵字「間諜軟體」會優先選擇明顯創建的旨在美化「TotalAV」安全解決方案的頁面。
在維基百科上,惡意軟體會在頁面頂部插入捐款呼籲。這則訊息與我們習慣看到的訊息類似,只是它提供了一個比特幣地址來收取金錢。“我們現在接受加密貨幣。請將您的捐款寄至…”,我們可以在假訊息中讀取嗎?
最後,如果受害者瀏覽提供比特幣或以太坊支付或捐贈的網站,惡意軟體將系統性地將錢包地址替換為駭客控制的其他地址。這種騙局不容易被發現,因為比特幣或以太坊地址是隨機字元序列。因此,區分它們並不容易。
要保護自己免受這種惡意軟體的侵害並不容易。它們會不斷更新,並且並不總是能被防毒軟體很好地檢測到。因此,在這種情況下,54 個防毒引擎中只有 7 個能夠正確分析損壞的 torrent 檔案。
