攻擊者正在針對尋求下載盜版軟件的用戶進(jìn)行攻擊，由于用戶自己知道獲取與使用盜版軟件是違法的，許多下載盜版軟件的用戶都不會對下載來源進(jìn)行安全審查，這些用戶最終可能會付出更大的代價。

介紹

自從 Napster 在互聯(lián)網(wǎng)上發(fā)布盜版已經(jīng)有二十余年，海盜灣種子下載站出現(xiàn)也近十年。盡管許多國家都針對此發(fā)布了相關(guān)的法律與禁令，但是盜版依舊屢禁不止，許多人都會下載與使用?；ヂ?lián)網(wǎng)上也有很多宣傳破解軟件的的廣告，出現(xiàn)在 Google 的搜索結(jié)果與網(wǎng)站的廣告位中。

Google 搜索結(jié)果中的仿冒盜版下載網(wǎng)站

安全研究人員最近發(fā)現(xiàn)了通過仿冒盜版軟件下載網(wǎng)站進(jìn)行惡意軟件傳播的攻擊行動。如上所示，Google 的搜索結(jié)果中就包含此類虛假網(wǎng)站，這些網(wǎng)站看起來與真正的盜版下載網(wǎng)站差不多。

案例一分析

階段一：重定向分發(fā)

用戶訪問仿冒盜版下載網(wǎng)站時，會被多次重定向到最終部署惡意軟件的網(wǎng)站，多次重定向則是為了規(guī)避搜索引擎和其他掃描程序的檢測。如下所示，此類重定向在正常網(wǎng)站上可能會引起受害者的警覺，但是在盜版下載網(wǎng)站上，受害者可能會認(rèn)為這是網(wǎng)站運(yùn)行的正常方式。

多次重定向

如下所示，惡意文件都部署在開放目錄中，其中包含 3000 余個偽裝成常見破解軟件的惡意 ZIP 壓縮文件，用戶下載的文件通常是一個小于 10MB 的 ZIP 壓縮文件。

開放目錄

分發(fā)方式也并不單一，攻擊者會還使用 Mediafire 與 Discord 等受信任的公共網(wǎng)站部署惡意軟件。

釣魚網(wǎng)站

階段二：Loader

下載的壓縮文件中包含一個受密碼加密的 ZIP 壓縮文件和另一個偽裝成包含密碼的文本文件。

壓縮文件與密碼

加密的 ZIP 文件中還包含一個名為 setup.zip 的文件，大小為 1.3MB。提取壓縮文件會出現(xiàn)一個 0x20 與 0x00 字節(jié)填充的可執(zhí)行文件，大小超過 600MB，如下所示：

填充文件

研究人員認(rèn)為填充字節(jié)只是為了逃避檢測，該樣本還具備反虛擬機(jī)與反調(diào)試功能。刪除無關(guān)字節(jié)后，樣本大小從 600MB 下降到 78KB，如下所示。

實(shí)際大小

文件被執(zhí)行，就會生成一個被編碼的 PowerShell 命令，解碼后為 (Start-Sleep-s10;Remove-Item-Path"C:\Users\User\Desktop\Setupfinal.exe"-Force)?。連接遠(yuǎn)程服務(wù)器，下載名為 windows.decoder.manager.form.fallout15_Uwifqzjw.jpg的文件，如下所示：

下載文件

下載文件

下載的文件看起來是加密的，但實(shí)際上只是倒序存儲。將其翻轉(zhuǎn)過來可以發(fā)現(xiàn)，這是一個 DLL 文件。

階段三：RedLine Stealer

DLL 為一個 RedLine 竊密惡意軟件，會竊取受害者的隱私信息，例如瀏覽器歷史記錄。

案例二分析

研究人員還發(fā)現(xiàn)仿冒盜版下載網(wǎng)站還分發(fā) RecordBreaker 竊密惡意軟件，樣本文件通過 Themida、VMprotect 和 MPRESS 等進(jìn)行加殼，如下所示。

加殼文件

攻擊者常常使用加殼來躲避檢測，并且在殼中融合反虛擬機(jī)與反調(diào)試技術(shù)，如下所示。

反調(diào)試技術(shù)

反調(diào)試技術(shù)

反調(diào)試技術(shù)

關(guān)閉安全軟件的提示

樣本與 C&C 服務(wù)器通信，并回傳機(jī)器 ID 與配置 ID：

C&C 通信

通過瀏覽器竊取的信息包括 MetaMask、TronLink、BinanceChain、Ronin、MetaMask、MetaX、XDEFI、WavesKeeper、Solflare、Rabby、CyanoWallet、Coinbase、AuroWallet、KHC、TezBox、Coin98、Temple、 ICONex、Sollet、CloverWallet、PolymeshWallet、NeoLine、Keplr、TerraStation、Liquality、SaturnWallet、GuildWallet、Phantom、TronLink、Brave、MetaMask、Ronin、MEW_CX、TON、Goby 和 TON。

收集到的失陷主機(jī)上的相關(guān)信息回傳給 C&C 服務(wù)器：

竊密信息

惡意軟件還能夠?qū)⑵聊唤貓D回傳給攻擊者，如下所示：

發(fā)送屏幕截圖

RecordBreaker 收集用戶的 Cookie 也會回傳給 C&C 服務(wù)器，如下所示：

竊取瀏覽器 Cookie

結(jié)論

攻擊者通過盜版軟件的渠道分發(fā)惡意軟件，竊取受害者的信息進(jìn)行獲利。用戶能夠通過使用合法網(wǎng)站下載的正版軟件來規(guī)避此類，由于非法行為造成的感染。