伪造的Microsoft DirectX 12网站推送了窃取密码的恶意软件

DirectX 12

网络罪犯创建了一个虚假的Microsoft DirectX 12下载页面,以分发恶意软件,这些恶意软件会窃取您的加密货币钱包和密码。

即使该网站随附联系表格,隐私权政策,免责声明和DMCA侵权页面,但该网站或其分发的程序均没有合法依据。

伪造的Microsoft DirectX 12下载页面
伪造的Microsoft DirectX 12下载页面

当用户单击“下载”按钮时,他们将被重定向到一个外部页面,提示他们下载文件。根据您单击的是32位版本还是64位版本,将为您提供一个名为“ 6080b4_DirectX-12-Down.zip” [ VirusTotal ]或“ 6083040a__Disclaimer.zip” [ VirusTotal ]的文件。

这两个文件的共同点是它们导致恶意软件试图窃取受害者的文件,密码和加密货币钱包。

 由安全研究人员 Oliver Hough首次发现,当启动伪造的DirectX 12安装程序时,它们将安静地从远程站点下载恶意软件并执行它

该恶意软件是一种窃取信息的恶意软件,试图获取受害者的Cookie,文件,有关系统的信息,已安装的程序,甚至是当前桌面的屏幕快照。

从受感染的计算机中收集数据
从受感染的计算机中收集数据

随着加密货币的狂热如潮,恶意软件开发人员还试图窃取Windows软件的各种加密货币钱包,例如Ledger Live,Waves.Exchange,Coinomi,Electrum,Electron Cash,BTCP Electrum,Jaxx,Exodus,MultiBit HD ,Aomtic和Monero。

窃取加密货币钱包
窃取加密货币钱包

所有数据都收集到%Temp%文件夹中,恶意软件会压缩该文件夹并将其发送回攻击者。然后,攻击可以分析数据并将其用于其他恶意活动。

威胁行为者越来越多地创建假冒网站,在许多情况下,更令人信服的网站来分发恶意软件。

过去,BleepingComputer曾报道过恶意软件分发者创建了伪造站点来宣传ProtonVPN,  Windows系统清理程序和 BleachBit  ,这些伪站点 将窃取密码的木马推向了毫无戒心的访客。

随着网络继续成为狂野的西部,至关重要的是采取一种偏执的方法来下载软件,并仅从受信任的站点或开发人员的站点安装软件。

由于DirectX是Microsoft的功能,因此只应从Microsoft安装它, 而从其他任何地方下载它可能会给您带来麻烦,这是有道理的 。

*编译:Domino

*来自:bleepingcomputer