资安业者SonicWall警告,骇客建置了一个仿冒WinRAR官网的网站,这个以假乱真的网站网址为win-rar.co,与正牌官网win-rar.com只有一个字母之差。(图片来源/SonicWall)
美国资安业者SonicWall上周警告,骇客建置了一个仿冒为WinRAR官网的网站,也打造了一个伪造的WinRAR程式,不察的使用者在安装后即会自GitHub下载一系列的恶意程式。这个以假乱真的网站网址为win-rar.co,与正牌官网win-rar.com只有一个字母之差。
WinRAR是由win.rar GmbH工程师Eugene Roshal所开发的档案压缩工具,主要支援Windows,号称是全球最热门的压缩工具,拥有超过5亿用户。win.rar GmbH也开发了跨平台的命令列版本RAR,支援Android的RAR for Android,以及专门解压缩的UnRAR。
上述工具被统称为RARLAB产品,官网为rarlab.com,而win-rar.com则是win.rar GmbH的官网,两个网站都可取得合法的WinRAR版本。
总之骇客取得了win-rar.co网址,也将介面设计得跟官网win-rar.com一模一样,并提供使用者下载最新的WinRAR 7.01,但事实上却将使用者导至由骇客控制的GitHub专案以下载各种恶意程式,包括可将自己自Windows Defender中排除的工具、可自远端存取系统的HVNC、勒索软体Locker、挖矿程式、资讯窃取程式Kematian Stealer及蠕虫等。
目前假冒的win-rar.co网址已无法存取,而SonicWall亦尚未於单一攻击行动中看到该GitHub专案中的所有恶意元件。