假冒微星顯卡超頻工具 Afterburner 網(wǎng)站泛濫，劫持微軟 Win10 / Win11 設(shè)備用于挖礦

IT之家 11 月 24 日消息，根據(jù)安全公司 Cyble 發(fā)布的最新報(bào)告，在過去 3 個(gè)月時(shí)間里至少發(fā)生了 50 起玩家訪問假冒微星 Afterburner 官方網(wǎng)站后，其信息被竊取、個(gè)人設(shè)備用于挖礦的安全事件。

IT之家了解到，這些釣魚站點(diǎn)包括但不限于以下域名：

• msi-afterburner--download.site

• msi-afterburner-download.site

• msi-afterburner-download.tech

• msi-afterburner-download.online

• msi-afterburner-download.store

• msi-afterburner-download.ru

• msi-afterburner.download

• mslafterburners.com

• msi-afterburnerr.com

在某些情況下，黑客所使用的域名并不像微星的品牌，很可能是通過直接信息、論壇和社交媒體帖子進(jìn)行推廣。例子包括：

• git[.]git[.]skblxin[.]matrizauto[.]net

• git[.]git[.]git[.]skblxin[.]matrizauto[.]net

• git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

• git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net

用戶一旦訪問這些釣魚網(wǎng)站下載 MSI Afterburner 安裝文件（MSIAfterburnerSetup.msi），在安裝過程中會(huì)悄悄地投放和運(yùn)行 RedLine 信息竊取惡意軟件和 XMR 挖礦程序。

挖礦是通過本地 Program Files 目錄下一個(gè)名為“browser_assistant.exe”的 64 位 Python 可執(zhí)行文件安裝的，該文件在安裝程序創(chuàng)建的進(jìn)程中注入了一個(gè)殼代碼。XMR 礦工使用的參數(shù)之一是 "CPU 最大線程" 設(shè)置為 20，高于大多數(shù)現(xiàn)代 CPU 線程數(shù)，因此它被設(shè)置為捕獲所有可用的功率。

合法的 MSI Afterburner 可以直接從 MSI 下載，網(wǎng)址是 www.msi.com/Landing/afterburner/graphics-cards。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。