假冒微星顯示卡超頻工具 Afterburner 網站氾濫,劫持微軟 Win10 / Win11 裝置用於挖礦

假冒微星顯示卡超頻工具 Afterburner 網站氾濫,劫持微軟 Win10 / Win11 裝置用於挖礦

根據安全公司 Cyble 發佈的最新報告,在過去 3 個月時間裡,至少發生了 50 起玩家因為誤連假冒微星 Afterburner 官方網站後,其資訊被竊取、個人裝置用於挖礦的安全事件。

假冒微星顯示卡超頻工具 Afterburner 網站氾濫,劫持微軟 Win10 / Win11 裝置用於挖礦

這個釣魚網站的外觀是把微星正版網站完全照抄過來,因此外觀上看不出差別。而這些釣魚的站點,包括但不限於以下域名:

  • msi-afterburner--download.site

  • msi-afterburner-download.site

  • msi-afterburner-download.tech

  • msi-afterburner-download.online

  • msi-afterburner-download.store

  • msi-afterburner-download.ru

  • msi-afterburner.download

  • mslafterburners.com

  • msi-afterburnerr.com

過去幾個月的受害人數

在某些情況下,駭客所使用的域名並不像微星的品牌,很可能是通過直接資訊、論壇和社群媒體帖子進行推廣。例子包括:

  • git[.]git[.]skblxin[.]matrizauto[.]net

  • git[.]git[.]git[.]skblxin[.]matrizauto[.]net

  • git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

  • git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

使用者一旦連接到這些釣魚網站下載 MSI Afterburner 安裝檔案(MSIAfterburnerSetup.msi),在安裝過程中會悄悄地投放和運行 RedLine 資訊竊取惡意軟體和 XMR 挖礦程式。

假冒微星顯示卡超頻工具 Afterburner 網站氾濫,劫持微軟 Win10 / Win11 裝置用於挖礦

挖礦是通過本地 Program Files 目錄下一個名為「browser_assistant.exe」的 64 位元 Python 可執行檔案安裝的,該檔案在安裝程式建立的處理程序中注入了一個殼程式碼。

假冒微星顯示卡超頻工具 Afterburner 網站氾濫,劫持微軟 Win10 / Win11 裝置用於挖礦

 XMR 礦工使用的參數之一是 「CPU 最大執行緒」 設定為 20,高於大多數現代 CPU 執行緒數,因此它被設定為捕獲所有可用的功率。

假冒微星顯示卡超頻工具 Afterburner 網站氾濫,劫持微軟 Win10 / Win11 裝置用於挖礦

所以就算看到了熟悉的官網,還是要注意一下網址是否有問題,以免不小心讓自己的電腦成為別人的礦機。 

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則