恶意软件绕过 Microsoft Defender 和 2FA,通过伪造的 NFT 游戏应用程序窃取 2.4 万美元的加密货币。了解它是如何入侵设备并逃避安全防护的。
SafetyDetectives 的网络安全研究人员发现,默认的 Windows 杀毒软件 Microsoft Defender 被恶意软件欺骗,导致一名毫无戒心的用户的加密货币被盗。这个问题是在分析一个看似无害的 NFT 游戏应用程序时发现的,该应用程序实际上是为了窃取加密货币而设计的。
该应用程序还通过绕过谷歌的双因素身份验证入侵了设备,并窃取了超过 24,000 美元的加密货币。据研究人员称,恶意软件一旦安装,就会在后台悄悄运行,收集敏感信息,甚至可能劫持用户受双因素身份验证(2FA)保护的谷歌账户。它通过安装一个伪装成谷歌 Keep 的恶意 Chrome 扩展程序,绕过 2FA 安全措施来实现这一目的。
在调查过程中,SafetyDetectives 的团队使用 Wireshark 监控网络流量并检测恶意软件的位置,测试了 Microsoft Defender 对恶意软件应用程序的防护能力。
令人惊讶的是,Microsoft Defender 在安装和执行过程中未能阻止病毒,允许恶意软件访问系统操作、下载可疑文件、收集敏感信息,甚至确定用户的位置。
可能是由于恶意软件的来源,如果用户在俄罗斯、乌克兰或白俄罗斯,恶意软件就会被编程为关闭。假冒的 Chrome 浏览器扩展使恶意软件能够访问访问的每个网站、窃取登录数据并监控从浏览器复制的任何内容。病毒收集了远程控制系统所需的一切,而微软卫士却没有发出警报。
比特梵德和 Malwarebytes 的救援
为了评估其他防病毒解决方案的有效性,研究小组还测试了 Malwarebytes 和 Bitdefender。虽然这两种杀毒软件都无法阻止最初的安装,但它们确实在攻击的后期阶段进行了干预。Bitdefender 阻止了恶意软件访问关键信息的尝试,而 Malwarebytes 则完全阻止了安装。
“虽然 Malwarebytes 比 Bitdefender 更快地阻止了漏洞的入侵,但在处理这种特定恶意软件方面,二者都没有本质上的优势,因为二者都能阻止关键漏洞的入侵。”他们在博文中解释说:“Bitdefender 的优势甚至在于误报率较低。”
这可能是因为近年来微软Exchange服务器受到了一系列零日漏洞的攻击,其中一些漏洞可能影响了微软Defender保护系统的能力。或者供应链攻击,如 SolarWinds 黑客攻击,会破坏软件更新和工具,从而可能影响 Microsoft Defender 等安全解决方案的完整性。
尽管如此,调查强调了投资更强大的杀毒软件的重要性,以及在下载和安装应用程序时保持谨慎的重要性,尤其是从未经验证的来源下载和安装。随时了解网络威胁并采取积极措施,可以大大降低恶意攻击的风险。
文章原文链接:https://www.anquanke.com/post/id/302147