IT之家11月24日报道,根据安全公司Cyble发布的最新报告,在过去三个月中,至少发生了50起玩家访问假冒微型卫星加力器官网的安全事件,他们的信息被窃取,个人设备被用于挖矿。
IT之家了解这些钓鱼网站包括但不限于以下域名:
微星-加力燃烧室-下载.网站
微星-加力燃烧室-下载.网站
微星-加力燃烧室-下载. tech
微星-加力燃烧室-下载.在线
微星-加力-下载. store
微星-加力燃烧室-下载. ru
微星-加力燃烧室.下载
mslafterburners.com
msi-afterburnerr.com
在某些情况下,黑客使用的域名不像微星的品牌,很可能通过直接消息、论坛和社交媒体帖子进行推广。例子包括:
git。git,git。]skblxin[。]matrizauto[。]net
git。git,git。git,git。]skblxin[。]matrizauto[。]net
git。git,git。git,git。git,git。]skblxin[。]matrizauto[。]net
git。git,git。git,git。git,git。git,git。]skblxin[。]matrizauto[。]net
一旦用户访问了这些钓鱼网站并下载了MSI加力安装文件(MSIAfterburnerSetup.msi),就会在安装过程中悄悄启动并运行RedLine信息窃取恶意软件和XMR挖矿程序。
Mining是通过本地Program Files目录下一个名为“browser_assistant.exe”的64位Python可执行文件安装的,该文件将一个shell代码注入到安装程序创建的进程中。XMR矿工使用的参数之一是“CPU最大线程数”被设置为20,这高于大多数现代CPU线程,因此它被设置为捕获所有可用的功率。
合法的微星加力燃烧室可以直接从微星www.msi.com/Landing/afterburner/graphics-cards.下载
