ΑρχικήsecurityFake MSI Afterburner μολύνουν τα PC με crypto-miners και info-stealers

Fake MSI Afterburner μολύνουν τα PC με crypto-miners και info-stealers

Οι χρήστες που κατεβάζουν το MSI Afterburner από ανεπίσημους ιστότοπους κινδυνεύουν να μολύνουν τους υπολογιστές τους με cryptocurrency miners και το κακόβουλο λογισμικό RedLine που κλέβει πληροφορίες.

Δείτε επίσης: Ducktail:Phishing καμπάνια μέσω WhatsApp στοχεύει Facebook Ad Accounts

MSI Afterburner

Το MSI Afterburner είναι ένα εύχρηστο εργαλείο για τους χρήστες καρτών γραφικών που σας επιτρέπει να ρυθμίζετε το overclocking, να δημιουργείτε fan profiles, να καταγράφετε βίντεο και να παρακολουθείτε τη θερμοκρασία της GPU και τη χρήση της CPU.

Τροποποιήστε τις ρυθμίσεις του παιχνιδιού σας, κάντε την κάρτα γραφικών σας να λειτουργεί πιο αθόρυβα και μειώστε τη θερμοκρασία της χρησιμοποιώντας αυτό το utility που δημιουργήθηκε από την MSI. Είναι δημοφιλές μεταξύ των gamers παγκοσμίως, επειδή μπορεί να χρησιμοποιηθεί με σχεδόν κάθε είδους κάρτα γραφικών.

Δείτε επίσης: Η Microsoft προειδοποιεί για τους κινδύνους του Boa Web Server

Εξαιτίας της επιτυχίας του, το εργαλείο αυτό έχει δυστυχώς γίνει κύριος στόχος για εγκληματίες που θέλουν να εκμεταλλευτούν χρήστες των Windows με υψηλής λειτουργικότητας GPU για εξόρυξη κρυπτονομισμάτων.

Μίμηση του MSI Afterburner

Η πρόσφατη έκθεση της Cyble αναφέρει ότι τους τελευταίους τρεις μήνες δημιουργήθηκαν πάνω από 50 ιστότοποι, οι οποίοι φαίνονται να είναι ο επίσημος ιστότοπος του MSI Afterburner. Αυτά τα site προωθούν XMR (Monero) miners μαζί με info-stealing malware.

Η καμπάνια χρησιμοποιούσε domains που οδηγούσαν τους χρήστες στο να πιστεύουν ότι βρίσκονταν στον επίσημο ιστότοπο της MSI. Αυτοί οι τύποι domain είναι ευκολότερο να προωθηθούν με τακτικές BlackSEO, μερικά παραδείγματα των οποίων βρήκε η Cyble και παρατίθενται παρακάτω:

  • msi-afterburner–download.site
  • msi-afterburner-download.site
  • msi-afterburner-download.tech
  • msi-afterburner-download.online
  • msi-afterburner-download.store
  • msi-afterburner-download.ru
  • msi-afterburner.download
  • mslafterburners.com
  • msi-afterburnerr.com

Άλλες φορές, τα domains δεν έμοιαζαν καθόλου με το εμπορικό σήμα της MSI και πιθανότατα προωθούνταν μέσω άμεσων μηνυμάτων, φόρουμ και αναρτήσεων στα μέσα κοινωνικής δικτύωσης. Μερικά παραδείγματα είναι τα εξής:

  • git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  • git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

Κρυφή εξόρυξη κατά την κλοπή των κωδικών πρόσβασής σας

Όταν εκτελεστεί το ψεύτικο αρχείο εγκατάστασης MSI Afterburner (MSIAfterburnerSetup.msi), θα εγκατασταθεί το νόμιμο πρόγραμμα Afterburner. Ωστόσο, το πρόγραμμα εγκατάστασης θα κάνει drop και θα εκτελέσει αθόρυβα το κακόβουλο λογισμικό κλοπής πληροφοριών RedLine και έναν XMR miner στη συσκευή που έχει παραβιαστεί.

Ο miner εγκαθίσταται μέσω ενός εκτελέσιμου αρχείου Python 64-bit με το όνομα ‘browser_assistant.exe’ στον τοπικό directory Program Files, το οποίο του επιτρέπει να αναλαμβάνει τον έλεγχο των διεργασιών που δημιουργούνται από τον installer.

Αυτός ο shellcode ανακτά το XMR miner από ένα repository GitHub και το εγχέει απευθείας στη μνήμη στη διαδικασία explorer.exe. Δεδομένου ότι ο miner δεν αγγίζει ποτέ το δίσκο, ελαχιστοποιούνται οι πιθανότητες να εντοπιστεί από προϊόντα ασφαλείας.

Ο miner συνδέεται με το mining pool του χρησιμοποιώντας ένα κωδικοποιημένο όνομα χρήστη και κωδικό πρόσβασης και, στη συνέχεια, συλλέγει και διοχετεύει βασικά δεδομένα συστήματος στους απειλητικούς παράγοντες.

Ο miner XMR έχει σχεδιαστεί για να χρησιμοποιεί όσο το δυνατόν περισσότερη ισχύ της CPU, θέτοντας το επιχείρημα ‘CPU max threads’ σε 20, το οποίο ξεπερνά τον αριθμό των thread των περισσότερων σύγχρονων CPU.

MSI Afterburner

Ο miner θα ενεργοποιηθεί μόνο αφού η CPU παραμείνει σε αδράνεια για 60 λεπτά, γεγονός που υποδηλώνει ότι ο μολυσμένος υπολογιστής δεν χρησιμοποιείται για απαιτητικές εργασίες.

Δείτε επίσης: GPU Mali: «Patch gap» αφήνει τους χρήστες Android εκτεθειμένους

Οι εφαρμογές των Windows από τις οποίες προσπαθεί να κρυφτεί ο miner είναι οι Taskmgr.exe, ProcessHacker.exe, perfmon.exe, procexp.exe και procexp64.exe.

Καθώς ο miner χρησιμοποιεί πονηρά τους πόρους του υπολογιστή σας για την εξόρυξη Monero, το RedLine κλέβει γρήγορα τους κωδικούς πρόσβασης, τα cookies, τις πληροφορίες του προγράμματος περιήγησης – πιθανώς ακόμη και τα πορτοφόλια κρυπτονομισμάτων που διαθέτετε.

Ο καλύτερος τρόπος για να αποφύγετε τη λήψη κακόβουλου λογισμικού είναι να επισκέπτεστε μόνο τους επίσημους ιστότοπους των εργαλείων που θέλετε να κατεβάσετε.

Το MSI Afterburner μπορείτε να το κατεβάσετε μόνο απευθείας από την MSI στη διεύθυνση www.msi.com/Landing/afterburner/graphics-cards για να αποφύγετε τις απάτες.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS