根据安全公司Cyble发布的最新报告,在过去3个月时间里,至少发生了50起玩家因为误连假冒微星Afterburner官方网站后,其资讯被窃取、个人设备用于挖矿的安全事件。
这个钓渔网站的外观是把微星正版网站完全照抄过来,因此外观增至不出差别。而这些钓鱼的站点,包括但不限于以下域名:
msi-afterburner–download.site
msi-afterburner-download.site
msi-afterburner-download.tech
msi-afterburner-download.online
msi-afterburner-download.store
msi-afterburner-download.ru
msi-afterburner.download
mslafterburners.com
msi-afterburnerr.com
过去几个月的受害人数
在某些情况下,黑客所使用的域名并不像微星的品牌,很可能是通过直接资讯、论坛和社群媒体帖子进行推广。例子包括:
git“.”git“.”skblxin“.”matrizauto“.”net
git“.”git“.”git“.”skblxin“.”matrizauto“.”net
git“.”git“.”git“.”git“.”skblxin“.”matrizauto“.”net
git“.”git“.”git“.”git“.”git“.”skblxin“.”matrizauto“.”net
用户一旦连接到这些钓渔网站下载MSI Afterburner安装文件(MSIAfterburnerSetup.msi),在安装过程中会悄悄地投放和运行RedLine资讯窃取恶意软件和XMR挖矿程序。
挖矿是通过本地Program Files目录下一个名为“browser_assistant.exe”的64位元Python可执行文件安装的,该文件在安装程序创建的处理程序中注入了一个壳程序代码。
XMR矿工使用的参数之一是“CPU最大线程”设置为20,高于大多数现代CPU线程数,因此它被设置为捕获所有可用的功率。
所以就算看到了熟悉的官网,还是要注意一下网址是否有问题,以免不小心让自己的计算机成为别人的矿机。