为了提升电脑防护,使用者下载、安装防毒软体可说是相当常见,但要务必留意下载的来源,因为有骇客制作冒牌网站声称提供防毒软体,实际上却是借此散布恶意程式。
研究人员指出,冒牌网站与正牌几乎一模一样,仅有少量差异,其中一项就是骇客拿掉正牌网页上的Free字样。
但骇客架设的网站仍有一些不寻常的地方有机可循,其中,引诱受害者上当的Download For Windows按钮,其连结看似将使用者导向程式码储存库Bitbucket下载档,但若是用户点选,此URL实际上会将他们重新导向至AWS S3储存桶,才下载名为BitDefender.zip的压缩档。
一旦使用者从上述ZIP档解开并执行StoreInstaller.exe,电脑就会被植入VenomRAT,此木马程式内含两种主要元件StormKitty、SilentTrinity,这些都是开源的后利用框架,其中,StormKitty用于在系统环境收集帐密资料,SilentTrinity则是将窃得资料外送,并提供骇客长期存取受害电脑的管道。
附带一提的是,骇客用于架设冒牌防毒软体网站的恶意网域,也与用来架设假银行网站、假IT服务网站的网域有所交集,研究人员认为,冒牌防毒软体网站很可能是网钓活动的一部分。