Swarez 木马和 Dropper 伪装成 15 热门游戏
今年4月, 卡巴斯基实验室专家 记录的 大规模传播木马和名为 Swarez 的植入程序的活动.
该恶意软件以 15 热门游戏, 该公司的产品记录了下载此类文件的尝试 45 世界各国.
该植入程序是通过各种模仿非法自由软件分发平台的网站引入的. 许多此类网站以程序密钥为幌子传播恶意软件, 包括防病毒软件, 照片和视频编辑器, 还有热门游戏.
带有用于分发被黑客攻击的软件的网站页面示例 斯瓦雷斯.
攻击者使用以下游戏作为诱饵: 美国之中, 战场 4, 战地 V, 控制, 反恐精英全球攻势, 国际足联 21, 堡垒之夜, 侠盗猎车手 V, 我的世界, NBA 2K21, 极品飞车热度, 绝地求生, 锈, 模拟人生 4, 泰坦天降 2. 每个帖子使用多个标签,以使登陆页面出现在搜索结果的顶部.
该滴管以 ZIP 存档形式分发, 其中包含另一个受密码保护的 ZIP 文件和一个包含此密码的文本文件. 恶意软件的启动导致了解密和激活 金牛座 窃取木马.
从而, 在感染的第一阶段, Swarez dropper 执行一个模糊的 CMD 脚本,解密合法的 AutoIt 解释器. 使用它, 恶意软件执行 AutoIt 脚本, 这也被混淆了. 进行多项检查以确保该文件不在模拟环境中执行, 然后使用RC4算法解密有效负载. 生成的文件嵌入到系统进程之一中并在其上下文中执行. 这是金牛座, 由以下公司开发的付费窃取木马 掠夺者 黑客组, 具有许多功能和定制选项. 它可以窃取cookie, 保存的密码和浏览器自动填充数据, 访问加密货币钱包的秘密, 收集系统信息, 用户桌面上的文本文件, 甚至还可以截图. 木马将所有这些信息发送给C&C服务器.
世界各地的用户正在积极从可疑来源下载软件, Swarez 滴管的作者利用了这一点. 攻击者不断地使他们的技术复杂化,并竭尽全力让用户在下载程序时不会怀疑他正在安装恶意软件. 这就是为什么我们建议仅从开发商的官方网站下载该软件.评论 安东·伊万诺夫, 网络安全专家 卡巴斯基实验室.
让我提醒你,我最近也写过 TrickBot 获得了一个用于监控受害者的新模块.
