11月24日消息|假冒微星显卡超频工具afterburner网站泛滥

11月24日消息，根据安全公司Cyble发布的最新报告，在过去3个月时间里至少发生了50起玩家访问假冒微星Afterburner官方网站后，其信息被窃取、个人设备用于挖矿的安全事件。

文章图片
这些钓鱼站点包括但不限于以下域名：
msi-afterburner--download.site
msi-afterburner-download.site
msi-afterburner-download.tech
msi-afterburner-download.online
msi-afterburner-download.store
msi-afterburner-download.ru
msi-afterburner.download
mslafterburners.com
msi-afterburnerr.com
在某些情况下，黑客所使用的域名并不像微星的品牌，很可能是通过直接信息、论坛和社交媒体帖子进行推广。例子包括：
git[.]git[.]skblxin[.]matrizauto[.]net
【11月24日消息|假冒微星显卡超频工具afterburner网站泛滥】git[.]git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
用户一旦访问这些钓鱼网站下载MSIAfterburner安装文件（MSIAfterburnerSetup.msi），在安装过程中会悄悄地投放和运行RedLine信息窃取恶意软件和XMR挖矿程序。

文章图片

文章图片

文章图片

文章图片

文章图片
挖矿是通过本地ProgramFiles目录下一个名为“browser_assistant.exe”的64位Python可执行文件安装的，该文件在安装程序创建的进程中注入了一个壳代码。 XMR矿工使用的参数之一是"CPU最大线程"设置为20 ，高于大多数现代CPU线程数，因此它被设置为捕获所有可用的功率。
合法的MSIAfterburner可以直接从MSI下载，网址是www.msi.com/Landing/afterburner/graphics-cards 。