伪造Microsoft Store,Spotify网站传播了窃取信息的恶意软件

恶意软件

攻击者正在推广模仿Microsoft Store,Spotify和在线文档转换器的网站,这些网站分发恶意软件以窃取保存在Web浏览器中的信用卡和密码。

网络安全公司ESET发现了该攻击,该公司昨天在Twitter上发出了警告,以监视恶意活动。

在与ESET威胁检测实验室负责人BiripingComputer的Jiri Kropac获悉,攻击是通过恶意广告进行的,该广告宣传了看似合法的应用程序。

例如,此攻击中使用的广告之一推广了在线Chess应用程序,如下所示。

恶意广告宣传伪造的国际象棋应用程序
恶意广告宣传伪造的国际象棋应用程序

但是,当用户单击广告时,会将他们带到伪造的Microsoft Store页面,以获取伪造的“ xChess 3”在线国际象棋应用程序,该应用程序会自动从Amazon AWS服务器下载。

下载的zip文件名为“ xChess_v.709.zip” [ VirusTotal ],实际上是变相的“ Ficker”或“ FickerStealer”信息窃取恶意软件,如BleepingComputer 创建的Any.Run报告所示 。

散布Ficker恶意软件的假Microsoft Store页面
散布Ficker恶意软件的假Microsoft Store页面

该恶意软件活动中的其他广告则伪装成是Spotify(如下所示)或在线文档转换器的广告。在访问时,其登陆页面还将自动下载包含Ficker恶意软件的zip文件。

伪造的Spotify登陆页面
伪造的Spotify登陆页面

用户解压缩文件并启动可执行文件后,Ficker恶意软件便会运行并开始窃取存储在其计算机上的数据,而不会受到新的在线Chess应用程序或Spotify软件的欢迎。

什么是Ficker恶意软件

Ficker是一种信息窃取木马,于1月在讲俄语的黑客论坛上发布,当时开发人员开始将恶意软件出租给其他威胁参与者。

在论坛上的帖子中,开发人员描述了该恶意软件的功能,并允许其他威胁行为者从一周到六个月的时间向任何人租用该软件。

营销FickerStealer恶意软件的论坛帖子
营销FickerStealer恶意软件的论坛帖子

使用此恶意软件,威胁行动者可以在Web浏览器,桌面消息客户端(Pidgin,Steam,Discord)和FTP客户端中窃取保存的凭据。

除了窃取密码外,开发人员还声称该恶意软件可以窃取15个以上的加密货币钱包,窃取文档以及为受害者计算机上运行的活动应用程序截图。

然后,此信息将被编译成一个zip文件,并传输回攻击者,然后攻击者可以在其中提取数据并将其用于其他恶意活动。

由于Ficker恶意软件的广泛功能,此活动的受害者应立即更改其在线密码,检查防火墙以获取可疑的端口转发规则,并对计算机进行彻底的防病毒扫描以检查是否有其他恶意软件。

*编译:Domino

*来自:bleepingcomputer