
破解軟件下載頁變資安陷阱:Vidar 偷密碼,XMRig 偷電腦挖礦
惡意廣告引人去假下載頁,帳號、錢包同公司電腦都中招
搜破解軟件,最先中伏可能係廣告
iThome 報道引述 Palo Alto Networks Unit 42,指 2026 年 4 月有一波攻擊用惡意廣告引人去假破解軟件下載頁,loader 跟住落 Vidar 竊資木馬同 XMRig 挖礦工具。呢單唔只係有人貪平用破解版咁簡單,最麻煩係入口就擺喺搜尋結果附近。你搵剪片、Office、設計工具破解檔,頭幾個似樣結果都有機會係陷阱。Unit 42 主要見到美國同歐盟受害,但呢種玩法對地區冇咩門檻。

圖片:Palo Alto Networks Unit 42
大檔案唔代表安全
攻擊者揀破解版,好現實。想裝破解嗰刻,好多人已經預咗要關警告、照開有密碼嘅壓縮檔、信「安裝包幾百 MB 都正常」呢套說法。Unit 42 話今次有樣本用檔名帶 .bin 嘅密碼壓縮檔派發,部分 loader 實際惡意內容只得 2.3MB,但用 null bytes 墊大到最高 491MB,避開只收 50 至 100MB 檔案嘅自動沙箱。即係安全系統有時未跑到樣本,用戶已經自己撳咗。

圖片:Palo Alto Networks Unit 42
Vidar 偷帳號,XMRig 偷資源
Vidar 最麻煩嘅位,係佢瞄準瀏覽器儲存密碼、cookies 同加密貨幣錢包資料,唔係淨係令部機彈 error。cookies 特別煩,因為有啲登入狀態未必即刻要 2FA,攻擊者攞到 session 後可以試入電郵、雲端硬碟、社交帳號,甚至工作用 SaaS。Unit 42 評估營運者可能係 Vidar malware-as-a-service affiliate,即係有人租用 stealer 工具鏈賺兩邊錢:一邊賣登入資料同 cookies,一邊用 XMRig 偷你 CPU 效能去挖 Monero。
假簽署同假 Defender 名稱
今次仲有幾個防守細節值得 IT team 留意。Unit 42 話 43 個 loader 樣本都帶住假 Authenticode 簽署資料,顯示成 justwatch[.]com;佢哋亦講明 JustWatch 冇俾攻陷。另一批 DLL 變種扮 Windows Defender 嘅 MpClient.dll,用 DLL search-order hijacking 借正常 Windows 程序載入惡意副本。呢類手法嘅目的好簡單:令檔案望落似正常、路徑望落似 Microsoft,等人同工具都放鬆。
實際點避
普通用戶要做嘅嘢其實好悶,但有效:唔裝破解軟件;見到搜尋廣告扮官方下載,先停一停;只用開發商官網、Microsoft Store、App Store、GitHub release 呢類可追來源;瀏覽器同系統安全更新唔好拖;DNS 防護同廣告攔截可以擋走一部分惡意廣告。密碼方面,唔好將所有重要帳號長期困喺同一個瀏覽器,密碼管理器、passkey、MFA 都要開,電郵同雲端帳號優先。
開過可疑檔點收拾
如果你最近真係開過可疑破解檔,唔好淨係刪檔當冇事。先離線、用可信安全工具掃描,跟住喺另一部乾淨裝置改電郵、銀行、社交、公司帳號密碼,登出全部 session,重設 MFA recovery codes;有 crypto wallet 就要檢查 extension、有冇陌生授權,必要時搬走資產。細公司同自由工作者尤其要醒,因為一部平時做剪片、設計、報價嘅 PC,中招後可能連客戶檔案同公司 login 都一齊輸。
參考來源
- iThome — 下載破解軟體恐遭Vidar竊資,載入器膨脹至數百MB規避沙箱分析 — original report
- Palo Alto Networks Unit 42: Vidar Stealer Unmasked: Code Signing Abuse, Go Loaders and File Inflation — 原始威脅研究,核對攻擊鏈、樣本數、大檔案 padding、Vidar 同 XMRig payload。
- MITRE ATT&CK: Hijack Execution Flow: DLL — 核對 DLL search-order hijacking / sideloading 呢類手法點用嚟隱藏執行。
- MITRE ATT&CK: Subvert Trust Controls: Code Signing — 補充程式碼簽署俾攻擊者濫用嘅背景。
- XMRig — 確認 XMRig 本身係開源 CPU/GPU 挖礦工具,今次係俾攻擊者綁入惡意軟件。
- CISA: Multifactor Authentication — 安全建議背景,支撐 MFA / passkey 優先保護重要帳號嘅做法。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







