恶意程序正潜入盗版3DMark等软件进行传播

据报道，恶意网络安全研究人员发现了多个恶意软件传播活动 ，程序目标针对下载盗版软件的正潜互联网用户 。

该活动使用 SEO 投毒和恶意广告推高这些“带毒”的入盗共享软件网站在 Google 搜索结果中的排名 ，据发现此事件的版D播Zscaler 称 ，这些盗版软件包括了3DMark 、等软Adobe Acrobat Pro等时下热门应用。行传多数情况下，恶意这些软件安装程序的免费模板程序恶意可执行文件位于文件托管服务上，因此登陆页面将受害者重定向到其他服务以下载这些文件。正潜

含恶意盗版软件的入盗高排名搜索结果

网站重定向流程图

这些传播恶意文件的重定向站点名称不那么花哨 ，并且位于“xyz”和“cfd”顶级域上 。版D播下载的等软文件包含一个 1.3MB、有密码保护的行传 ZIP 文件，以此来逃避 AV 扫描，恶意此外还附带一个包含解密密码的建站模板文本文件。由于采用字节填充技术，ZIP解压后的文件大小有600M，这是许多恶意软件遵循的常见反分析做法，其中包含的可执行文件是一个恶意软件加载程序，它会生成一个编码的 PowerShell 命令，云计算该命令会在 10 秒超时后启动 Windows 命令提示符 (cmd.exe)，以逃避沙盒分析 。

cmd.exe 进程会下载一个 JPG 文件 ，该文件实际上是一个 DLL 文件，其内容反向排列。加载程序以正确的顺序重新排列内容 ，派生出最终的 DLL，即 RedLine Stealer 有效负载，并将其加载到当前线程中。服务器租用

获取恶意图像文

RedLine Stealer是一种强大的信息窃取恶意软件，它可以窃取存储在网络浏览器中的密码、信用卡数据、书签、cookie、加密货币文件和钱包、VPN 凭证、计算机详细信息等
。

今年6月，高防服务器FreeBuf也曾报道过类似事件 ，信息窃取恶意软件隐藏在知名清理程序CCleaner中进行传播 。

为了避免上述情况发生，用户应避免下载盗版软件、产品激活程序、破解程序、序列密钥生成器以及任何承诺无需付费即可使用付费软件的内容。即使包含这些虚假或恶意内容的网站在搜索结果中的排名很高。