国家计算机病毒应急处理中心通过对互联网的监测发现有广告恶意软件安装名为Pirate Chick的VPN软件,该VPN软件会连接到远程服务器来下载和安装恶意payload——AZORult信息窃取木马。因为广告恶意软件需要看起来尽可能合法和合理,该恶意软件要求用户同意隐私政策和知情同意,所以看起来跟真的网站完全一致。恶意软件使用的是一家英国的ATX国际公司的证书进行签名,这样使可执行文件更加可信。研究人员也发现大多数签名的恶意软件都与英国公司相关联。
当执行Pirate Chick VPN的安装文件时,它会下载和安装一个payload到%Temp%文件夹并执行该payload。之前的payload是AZORult信息窃取器木马,现在的payload变成了进程监控器,作为启动另外的攻击活动的临时填充。
目前Pirate Chick VPN已经不再安装密码窃取器木马,但是会连接到站点,下载和运行混淆版的Procmon.exe。而且攻击者很容易就可以将其替换为其他想要安装的恶意软件。
针对该恶意程序所造成的危害,建议用户做好安全防护,在所使用的计算机中安装安全防护软件,并将病毒库版本升级至最新版。同时,关闭不必要的端口,并安装防火墙,以免使电脑受到该恶意程序的危害。
|