安全公司曝光黑客山寨殺毒軟件 Bitdefender 官網，實為提供釣魚木馬

IT之家 5 月 31 日消息，安全公司 DomainTools 發文，透露有黑客偽造網站聲稱提供殺毒軟件[IT江湖]，實則借機傳播惡意木馬。

IT之家參考相應通報獲悉，相應黑客首先建立山寨 Bitdefender 殺毒軟件[IT江湖]網站，之后通過付費購買搜索權重、廣告等方式推廣相應網站。一旦用戶被騙從網站中下載并運行所謂的安裝程序，電腦[IT江湖]便會感染 VenomRAT 木馬，該木馬會搜集用戶電腦[IT江湖]上存儲的密碼憑據發送至黑客架設的服務器，還會敞開端口為黑客提供遠程訪問通道。

研究人員表示，上述網站與正版頁面的主要區別之一是黑客移除了頁面上“Free”字樣，但除此之外幾乎完全相同。此外，假網站中的“Download For Windows”按鈕，表面上看起來是指向代碼托管平臺 Bitbucket 的下載鏈接，實際上用戶點擊后便會被重定向到亞馬遜 AWS S3 存儲庫，下載一個名為“BitDefender.zip”的壓縮包。

當用戶解壓并運行其中的 StoreInstaller.exe 程序后，電腦[IT江湖]便會運行 VenomRAT 木馬，相應木馬包含兩個主要組件：StormKitty 和 SilentTrinity，均為開源后滲透框架。其中 StormKitty 用于在系統中收集賬號和密碼等信息，而 SilentTrinity 則負責將竊取的數據外傳至黑客設置的服務器中，并敞開端口便于為黑客遠程控制訪問受害電腦[IT江湖]。

值得一提的是，黑客用來架設這個山寨網站的惡意域名，與此前用于假冒銀行網站、假 IT 服務網站的域名有交集。研究人員認為，相應黑客可能同時坐擁大量山寨網站，進行大規模網絡釣魚活動。