11月24日消息|假冒微星显卡超频工具afterburner网站泛滥

11月24日消息 , 根据安全公司Cyble发布的最新报告 , 在过去3个月时间里至少发生了50起玩家访问假冒微星Afterburner官方网站后 , 其信息被窃取、个人设备用于挖矿的安全事件 。
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥
文章图片
这些钓鱼站点包括但不限于以下域名:
msi-afterburner--download.site
msi-afterburner-download.site
msi-afterburner-download.tech
msi-afterburner-download.online
msi-afterburner-download.store
msi-afterburner-download.ru
msi-afterburner.download
mslafterburners.com
msi-afterburnerr.com
在某些情况下 , 黑客所使用的域名并不像微星的品牌 , 很可能是通过直接信息、论坛和社交媒体帖子进行推广 。 例子包括:
git[.]git[.]skblxin[.]matrizauto[.]net
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥】git[.]git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
用户一旦访问这些钓鱼网站下载MSIAfterburner安装文件(MSIAfterburnerSetup.msi) , 在安装过程中会悄悄地投放和运行RedLine信息窃取恶意软件和XMR挖矿程序 。
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥
文章图片
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥
文章图片
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥
文章图片
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥
文章图片
11月24日消息|假冒微星显卡超频工具afterburner网站泛滥
文章图片
挖矿是通过本地ProgramFiles目录下一个名为“browser_assistant.exe”的64位Python可执行文件安装的 , 该文件在安装程序创建的进程中注入了一个壳代码 。 XMR矿工使用的参数之一是"CPU最大线程"设置为20 , 高于大多数现代CPU线程数 , 因此它被设置为捕获所有可用的功率 。
合法的MSIAfterburner可以直接从MSI下载 , 网址是www.msi.com/Landing/afterburner/graphics-cards 。