据报道,网络安全研究人员发现多起针对下载盗版软件的互联网用户的恶意软件分发活动。该活动使用SEO中毒和恶意广告来提升这些“有毒”共享软件网站在Google搜索结果中的排名。据发现该事件的Zscaler称,这些盗版软件包括3DMark和Adob??eAcrobatPro等流行应用程序。.在大多数情况下,这些软件安装程序的恶意可执行文件托管在文件托管服务上,因此登录页面会将受害者重定向到其他服务以下载它们。包含恶意盗版软件的高排名搜索结果站点的重定向流程图这些传播恶意文件的重定向站点名称不太花哨,位于“xyz”和“cfd”顶级域中。下载的文件包含一个1.3MB的受密码保护的ZIP文件以逃避AV扫描,以及一个包含解密密码的文本文件。由于字节填充技术,ZIP解压文件大小为600M,这是许多恶意软件采用的常见反分析做法。其中包含的可执行文件是一个恶意软件加载程序,它会生成经过编码的PowerShell命令,该命令会在10秒超时后启动Windows命令提示符(cmd.exe)以逃避沙箱分析。cmd.exe进程下载的是一个JPG文件,其实是一个内容反转的DLL文件。加载器以正确的顺序重新排列内容,导出最终的DLL,即RedLineStealer负载,并将其加载到当前线程中。获取恶意图像文本RedLineStealer是一种功能强大的信息窃取恶意软件,可以窃取密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN凭据、计算机详细信息以及存储在网络浏览器中的更多信息。今年6月,FreeBuf也报道了一起类似的事件,其中隐藏在知名清理程序CCleaner中的信息窃取恶意软件传播。为避免上述情况,用户应避免下载盗版软件、产品激活程序、破解程序、序列号生成器以及任何承诺无需付费即可使用付费软件的软件。甚至包含此类虚假或恶意内容的网站在搜索结果中的排名也很高。
