微軟警告說，最近通過種子網(wǎng)站下載的“ 疾速追殺3”或“ 傳染病”，可能是惡意軟件。

[[326479]]

例如The Pirate Bay*(海盜灣：種子、APP、游戲下載網(wǎng)站)以其提供高質(zhì)量種子文件而聞名，但隨后有一些知名的種子分享網(wǎng)站，例如CracksNow，他們最近被海盜灣等BT網(wǎng)站封殺，因?yàn)樗麄兊姆N子文件被嵌入了GrandCrab勒索軟件。

不明所以的用戶在尋找破解軟件時(shí)非常容易中招，中招后系統(tǒng)所有文件會(huì)被加密并以.CracksNow 格式結(jié)尾。

這名網(wǎng)站管理員還檢查 CracksNow 在其他同類站點(diǎn)分享的文件, 結(jié)果都是攜帶勒索軟件和病毒的破解文件。目前尚不清楚是CracksNow主動(dòng)在文件里添加病毒還是賬號(hào)被盜, 經(jīng)常下載破解版種子或者文件的用戶應(yīng)當(dāng)注意。

現(xiàn)在電影愛好者在通過洪流站點(diǎn)下載他們喜歡的新電影時(shí)應(yīng)保持謹(jǐn)慎，因?yàn)槲④浀陌踩藛T新發(fā)現(xiàn)了黑客活躍行為：越來越多的人在電影免費(fèi)種子網(wǎng)站中注入了挖礦惡意軟件。

此廣告活動(dòng)的不同尋常之處在于，南美，智利，墨西哥和西班牙的洪流用戶是主要目標(biāo)，而美國(guó)電影盜版平臺(tái)目前仍是安全的。

Microsoft在其Twitter上發(fā)出了一條警告，內(nèi)容為：

“在世界許多地方仍處于疫情封鎖階段，攻擊者觀察到后利用了使用盜版流媒體服務(wù)和種子下載的增加的現(xiàn)象。我們發(fā)現(xiàn)了活躍的挖礦軟件活動(dòng)，該活動(dòng)將惡意的VBScript插入偽裝成電影ZIP文件中，最可怕的是用戶下載毫不知情。”

該惡意軟件不僅限于John Wick 3和Contagion(電影疾速追殺3和傳染病)，還包括了排行榜靠前的一系列熱門的電影，他們的種子里會(huì)包含迄今為止下載次數(shù)最多的惡意軟件。

研究人員聲稱，還有一種新類型的攻擊：攻擊者已在影片的ZIP文件夾中嵌入了VBScript，并且ZIP文件根據(jù)影片的標(biāo)題命名，例如John_Wick_3_Parabellum和contagio -1080p。

當(dāng)用戶單擊電影的ZIP文件夾時(shí)，惡意的VBScript將啟動(dòng)并執(zhí)行命令以下載其他組件。新組件的一部分是一個(gè)AutoIT腳本，該腳本可解密第二階段的DLL(動(dòng)態(tài)鏈接庫(kù))。DLL被解碼后將以將硬幣開采代碼直接注入設(shè)備的內(nèi)存中。

使用洪流下載與我們的觀察結(jié)果一致，攻擊者正在新瓶裝舊藥地將之前的電腦病毒，插入疫情宅家關(guān)注的熱門流量中來獲利。例如剛剛被檢測(cè)到的VBScript威脅。—微軟安全情報(bào)(@MsftSecIntel)2020年4月28日

攻擊者尚未留下痕跡，這就是為什么他們的身份仍然隱藏的原因。該活動(dòng)于上個(gè)月4月11日的盜版電影中被安全專家注意到。

根據(jù)Microsoft的分析，攻擊者正試圖使用挖礦病毒這一項(xiàng)舊技術(shù)，從COVID-19大流行中受益，因?yàn)槿藗儽黄却粼诩依?，在過去兩個(gè)月的電影洪流中網(wǎng)站瀏覽量和下載量飆升。

根據(jù)監(jiān)控公司Muso報(bào)告的數(shù)據(jù)看來：疫情封鎖期間西班牙電影洪流的使用量增加了50%，而美國(guó)在內(nèi)的一些地區(qū)則增加了40%。所以說，攻擊者利用流行電影做誘餌賺錢毫不奇怪，對(duì)于這些暗色產(chǎn)業(yè)從業(yè)者來說正是一個(gè)很好的機(jī)會(huì)。