江蘇
關鍵詞
惡意軟件
科技媒體 bleepingcomputer 昨日(12 月 24 日)發(fā)布博文,報道稱攻擊者近期利用 " 域名搶注 " 手段,建立了一個與知名微軟激活腳本(MAS)極度相似的虛假網(wǎng)站,僅通過一個字母的拼寫差異(缺少 "d")誘導用戶下載 "Cosmali Loader" 惡意軟件。
注:MAS 本身是一個在 GitHub 上開源的腳本集,用于繞過微軟的許可驗證來激活 Windows 和 Office,官網(wǎng)地址為 "get.activated.win"。而攻擊者精心設計了一個名為 "get.activate.win" 的惡意域名,兩者僅相差一個字母 "d"。
攻擊者利用了 " 域名搶注 " 方式,即用戶在 PowerShell 中手動輸入命令時容易產(chǎn)生拼寫錯誤發(fā)起攻擊。一旦用戶誤入該偽造域名,系統(tǒng)將不會執(zhí)行正常的激活程序,而是被強制下載并運行惡意 PowerShell 腳本,進而下載和運行 "Cosmali Loader" 病毒。
Reddit 社區(qū)近日出現(xiàn)大量用戶反饋,稱電腦突然彈出一條離奇的警告信息。彈窗直白地指出用戶因輸錯網(wǎng)址而感染了惡意軟件,并警告稱 " 惡意軟件面板不安全,任何人都能訪問你的電腦 ",最后建議用戶立即重裝 Windows 系統(tǒng)。
安全研究人員 RussianPanda 調(diào)查發(fā)現(xiàn),這并非攻擊者的勒索信,極可能是一位 " 白帽 " 研究人員發(fā)現(xiàn)了該惡意軟件控制后臺的漏洞,在獲取權限后,利用該通道向所有已感染的受害者發(fā)送了善意的風險提示。
盡管有人發(fā)出了善意警告,但 "Cosmali Loader" 的危害不容小覷。據(jù)分析,該惡意軟件主要負責投放兩類載荷:一是加密貨幣挖礦工具,會暗中消耗系統(tǒng)資源導致電腦卡頓;二是名為 XWorm 的遠程訪問木馬(RAT)。XWorm 賦予了攻擊者對受害系統(tǒng)的完全控制權,使其能夠竊取敏感數(shù)據(jù)、監(jiān)控用戶行為甚至執(zhí)行更多惡意指令。
安全圈
網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
