恶意软件以“戏法”之名对清理程序CCleaner进行传播

据知名科技外媒Bleeping Computer网站6月8日消息称，一种名为“FakeCrack”的恶意软件，正通过感染流行系统清理程序CCleaner进行传播。

来自Avast的分析师们发现，这款恶意软件是一个极其强大的信息窃取程序，可以收集个人数据和加密货币资产，并借助数据窃取代理路由互联网流量。

他们的报告称，每天从其客户遥测数据中检测到平均10000次感染尝试，发现这些受害者中的大多数来自法国、巴西、印度尼西亚和印度等国家。

攻击者依托黑帽SEO技术，在谷歌搜索结果中将其恶意软件下载网站排名靠前，比如以破解版的CCleaner Professional为例，借助这个手法吸引更多受害者。一旦受害者点击这些“中毒的搜索结果”，就会跳转到一个提供ZIP文件下载的登录页面。此登录页面通常寄存在合法的文件托管平台上，类似于filesend.jp或mediafire.com。ZIP通常使用“1234”之类的弱PIN来对秘密进行保护，仅适用于保护有效负载免受反病毒检测。存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”，还包含了恶意软件的可执行文件，Avast已经观察到8种不同的可执行文件版本。

恶意软件会尝试窃取存储在网络浏览器中的信息，例如帐户密码、保存的信用卡和加密货币钱包凭证等一系列的重要信息，还会监控剪贴板中复制的钱包地址，将其替换为受恶意软件控制的地址以转移支付。此剪贴板包含劫持功能适用于各种加密货币地址，包括比特币、以太坊、Cardano、Terra、Nano、Ronin和比特币现金地址。

这个恶意软件还使用代理借助中间人攻击来窃取加密货币市场帐户凭据，通常这种攻击手法对于受害者来说很难检测或意识到。

Avast在报告中指出，攻击者能够通过设置IP地址来下载恶意代理自动配置脚本(PAC)，使用在系统中设置这个IP地址，当每次受害者访问任何列出的域时，流量都会被重定向到攻击者控制下的代理服务器。

因为该活动已经很普遍，并且感染率很高，所以尽量避免下载使用破解软件，即便它在下载站点在搜索引擎中的排名很高。