近期,網(wǎng)絡(luò)安全領(lǐng)域迎來了一則令人警醒的事件。安全專家團隊DomainTools揭露了一起精心策劃的網(wǎng)絡(luò)攻擊,黑客通過構(gòu)建假冒的殺毒軟件網(wǎng)站,暗中散播惡意軟件,嚴重威脅了用戶的數(shù)字安全。
據(jù)悉,黑客首先復(fù)制了知名殺毒軟件Bitdefender的官方網(wǎng)站,幾乎達到了以假亂真的程度,唯一的細微差別在于,他們移除了原版頁面上的“免費”字樣。隨后,通過一系列付費的搜索優(yōu)化和廣告策略,這些假冒網(wǎng)站迅速獲得了用戶的關(guān)注。
當用戶被誘導(dǎo)至這些虛假站點并下載所謂的“安裝程序”時,他們的電腦便悄然感染了名為VenomRAT的木馬病毒。這款木馬具備強大的數(shù)據(jù)竊取能力,能夠悄無聲息地收集用戶電腦中的密碼和憑據(jù),并將這些信息發(fā)送至黑客控制的服務(wù)器上。更為嚴重的是,VenomRAT還為用戶電腦打開了遠程訪問的端口,使黑客能夠輕易地進行遠程操控。
調(diào)查人員發(fā)現(xiàn),這些假冒網(wǎng)站中的“Download For Windows”按鈕,表面上鏈接到了一個代碼托管平臺Bitbucket,但實際上,用戶點擊后會被重定向至亞馬遜AWS S3存儲庫,下載名為“BitDefender.zip”的壓縮包。一旦用戶解壓并運行其中的StoreInstaller.exe程序,VenomRAT木馬便開始執(zhí)行其惡意任務(wù)。
VenomRAT木馬由兩個核心組件構(gòu)成:StormKitty和SilentTrinity。StormKitty負責(zé)在用戶的系統(tǒng)中搜集賬號和密碼等敏感信息,而SilentTrinity則負責(zé)將這些竊取的數(shù)據(jù)傳輸至黑客的服務(wù)器,并為黑客提供遠程訪問用戶電腦的權(quán)限。這種組合使得黑客能夠輕松獲取用戶的私人信息,并對用戶的電腦進行任意操作。
值得注意的是,黑客用于搭建這些假冒網(wǎng)站的惡意域名,與之前用于假冒銀行網(wǎng)站和IT服務(wù)網(wǎng)站的域名存在重疊。這一發(fā)現(xiàn)讓研究人員推測,這些黑客可能掌握著一系列類似的假冒網(wǎng)站,正在進行大規(guī)模的網(wǎng)絡(luò)釣魚活動,以竊取更多用戶的敏感信息。