根據安全公司 Cyble 發佈的最新報告,在過去 3 個月時間裡,至少發生了 50 起玩家因為誤連假冒微星 Afterburner 官方網站後,其資訊被竊取、個人裝置用於挖礦的安全事件。
這個釣魚網站的外觀是把微星正版網站完全照抄過來,因此外觀上看不出差別。而這些釣魚的站點,包括但不限於以下域名:
-
msi-afterburner--download.site
-
msi-afterburner-download.site
-
msi-afterburner-download.tech
-
msi-afterburner-download.online
-
msi-afterburner-download.store
-
msi-afterburner-download.ru
-
msi-afterburner.download
-
mslafterburners.com
-
msi-afterburnerr.com
在某些情況下,駭客所使用的域名並不像微星的品牌,很可能是通過直接資訊、論壇和社群媒體帖子進行推廣。例子包括:
-
git[.]git[.]skblxin[.]matrizauto[.]net
-
git[.]git[.]git[.]skblxin[.]matrizauto[.]net
-
git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
-
git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
使用者一旦連接到這些釣魚網站下載 MSI Afterburner 安裝檔案(MSIAfterburnerSetup.msi),在安裝過程中會悄悄地投放和運行 RedLine 資訊竊取惡意軟體和 XMR 挖礦程式。
挖礦是通過本地 Program Files 目錄下一個名為「browser_assistant.exe」的 64 位元 Python 可執行檔案安裝的,該檔案在安裝程式建立的處理程序中注入了一個殼程式碼。
XMR 礦工使用的參數之一是 「CPU 最大執行緒」 設定為 20,高於大多數現代 CPU 執行緒數,因此它被設定為捕獲所有可用的功率。
所以就算看到了熟悉的官網,還是要注意一下網址是否有問題,以免不小心讓自己的電腦成為別人的礦機。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!