Trellix 专家于 2024 年 4 月中旬 发现了几个模仿Avast 、Bitdefender 和 Malwarebytes 服务 的虚假网站，攻击者利用这些网站在 Android 和 Windows 用户中分发信息窃取程序。

发现了以下站点：

avast-securedownload[.]com – 用于以 APK 文件（“Avast.apk”）形式传送 SpyNote 木马。对文件请求的权限的分析表明，该恶意软件能够：

安装和删除软件包；
读取通话记录、短信、联系人和存储数据；
监控网络和Wi-Fi状态；
录制音频;
禁用屏幕锁定；
跟踪屏幕触摸；
跟踪设备位置；
记录用户操作；
自动安装程序；
我的加密货币。

Malwarebytes[.]pro – 用于提供 RAR 存档（“MBSetup.rar”），该存档部署 StealC 恶意软件来窃取数据。存档内还有一个用于创建 Inno Setup 安装程序的工具、一个自述文件和几个合法的 DLL。

恶意代码收集以下信息并将其传输到服务器：

保存的付款数据；
系统数据；
浏览器历史记录；
cookie;
用户凭据。

bitdefender-app[.]com –分发包含Lumma Stealer 恶意软件的 ZIP 存档（“setup-win-x86-x64.exe.zip”）。调查发现该文件使用 TLS 回调执行恶意活动直至入口点。

该恶意软件解码隐藏字符串并将其注入 Windows 系统目录中的“BitLockerToGo.exe”。恶意软件的主要目的是收集和窃取机密信息，例如电脑名称、用户名、系统和浏览器数据。

还发现了伪装成合法二进制文件的恶意 Trellix 二进制文件。例如，AMCoreDat.exe 在 %appdata% 目录中创建多个文件并填充恶意内容，这使得防病毒软件难以检测到。

然后，这些文件被收集到一个二进制文件中，该文件会从设备中窃取信息，包括登录信息、cookie、浏览器历史记录、用户名，并将其发送到 C2 服务器。

假冒网站截图

目前尚不清楚虚假网站是如何传播的，但过去类似的活动使用了恶意广告和SEO中毒等技术。

Trellix 强调，在看似合法的网站上托管恶意软件的目的是感染普通用户，尤其是那些想要保护其设备免受网络攻击的用户。用户在从互联网上下载防病毒程序和其他文件时应特别小心，仔细检查来源的真实性。仅使用受信任的官方网站下载软件并定期更新防病毒程序以防范此类威胁非常重要。

文章原文链接:https://www.anquanke.com/post/id/296828