MSI Afterburner 是一个 GPU 实用程序,可让您配置超频、创建风扇配置文件、实行视频捕获以及监控已安装显卡的温度和 CPU 利用率。
虽然该程序由 MSI 创建,但险些所有显卡用户都可以利用该实用程序,导致环球数百万游戏玩家利用它来调度设置以提高游戏性能,使他们的 GPU 更安静,并实现更低的温度。
然而,该工具的盛行也使其成为攻击者的良好目标。
根据 Cyble 的一份新报告,在过去三个月中,超过 50 个伪装 MSI Afterburner 的钓鱼网站涌现,将 XMR (Monero) 挖矿木马与窃密木马一起推送。
恶意网站推送绑定的 MSI Afterburner (Cyble)
该活动利用的网页诱利用户访问假冒MSI微星官方网站,并利用SEO优化进行推广。
虚假MSI Afterburner 安装程序 (MSIAfterburnerSetup.msi)运行时,将安装合法的 Afterburner 程序。然后悄悄在受传染设备开释 RedLine 窃密木马和XMR门罗币挖矿木马。
挖矿木马通过本地 Program Files 目录中名为“browser_assistant.exe”的 64 位 Python 可实行文件安装,它将 shell 注入到安装程序创建的进程中。
此 shellcode 从 GitHub 存储库中检索 XMR 矿工,并将其直接注入到 explorer.exe 进程。由于挖矿过程实现无文件攻击(不在本地天生恶意文件),因此被安全软件检测到的机会被降到最低。
挖矿木马利用硬编码的用户名、密码连接到矿池,然后网络基本系统数据并将其上传到恶意C2做事器。
挖矿木马试图隐蔽的 Windows 运用程序是 Taskmgr.exe、ProcessHacker.exe、perfmon.exe、procexp.exe 和 procexp64.exe。
当挖矿木马挟制打算机资源来挖掘门罗币(Monero)时,RedLine 已经在后台运行,盗取密码、cookie、浏览器信息,并可能盗取任何加密货币钱包。
目前这个假冒的超频工具(MSI Afterburner)很少被防病毒软件检测到。VirusTotal 报告说,恶意“MSIAfterburnerSetup.msi” 安装文件仅被 56 款安全产品中的 3 款检测到,而“ browser_assistant.exe ”仅被 67 款产品中的 2 款检测到。
