2022/06/24

[資安新聞]網路上下載破解軟體小心加密貨幣遭竊

點閱人次:5

公佈單位:TANet VoIP維運團隊

Avast資安研究人員近期揭露新興惡意程式FakeCrack活動,駭客於搜尋引擎上提供破解軟體下載站,受駭者執行下載後個人資訊與加密貨幣等敏感資料將被竊取。

首先,駭客於網站上提供知名付費軟體或遊戲等破解程式,此類網站皆位於搜尋引擎搜尋結果之第一頁,受駭者點選後將下載惡意程式而非破解軟體,此技術被稱為黑色搜尋引擎最佳化(Black SEO mechanism)。Avast資安研究人員以知名電腦清理軟體CCleaner Pro為例,每年訂閱費用為29.95美元,因此許多網站提供破解版供大家使用。惟於Google搜尋「CCleaner Pro Crack」時,搜尋結果之第一頁即有5個網站由駭客所建立,點選網站內之連結後,會被導引至下載壓縮檔之頁面,下載後解壓縮時需輸入簡單密碼,主要為躲避防毒軟體偵測,下載與解壓縮後即為執行檔。解壓縮後之文件通常被命名為「setup.exe」或「cracksetup.exe」,其中即包括惡意程式。

Avast資安研究人員蒐集8種惡意程式樣本,發現幾乎皆可掃描受駭者電腦,並自瀏覽器蒐集密碼與信用卡資料,或從加密貨幣錢包蒐集資料,再將資料傳送至遠端駭客所控制之伺服器。另外,駭客使用之其中一腳本,為每次使用剪貼簿時查看內容是否出現加密錢包地址,若有即換成駭客之錢包地址。由駭客擁有之37個加密錢包地址推算,至少已竊取50,000美元。第二個有趣之技術為使用代理(proxy)功能竊取敏感資料,駭客於程式碼中設定IP位址來下載惡意代理自動代理腳本(Proxy Auto Config, PAC),設定完成後受駭者若瀏覽駭客列出之網域,資料皆會導引至駭客之代理伺服器,此攻擊容易隱藏於受駭者電腦內且不容易被注意。

Avast表示,每天約阻擋1萬個惡意破解版CCleaner Pro網頁,潛在受駭者主要位於巴西、印度、印尼及法國。

 

以上資料轉自  行政院國家資通安全會報技術服務中心