破解軟件下載頁變資安陷阱:Vidar 偷密碼,XMRig 偷電腦挖礦
Tech News

破解軟件下載頁變資安陷阱:Vidar 偷密碼,XMRig 偷電腦挖礦

圖片:via iThome — https://www.ithome.com.tw/news/177192
TechLab 編輯部(譯)·

惡意廣告引人去假下載頁,帳號、錢包同公司電腦都中招

搜破解軟件,最先中伏可能係廣告

iThome 報道引述 Palo Alto Networks Unit 42,指 2026 年 4 月有一波攻擊用惡意廣告引人去假破解軟件下載頁,loader 跟住落 Vidar 竊資木馬同 XMRig 挖礦工具。呢單唔只係有人貪平用破解版咁簡單,最麻煩係入口就擺喺搜尋結果附近。你搵剪片、Office、設計工具破解檔,頭幾個似樣結果都有機會係陷阱。Unit 42 主要見到美國同歐盟受害,但呢種玩法對地區冇咩門檻。

Unit 42 用流程圖示範由假破解下載頁到 Factory-v3 loader,再落 Vidar、XMRig 同 Telegram 通知嘅攻擊鏈

圖片:Palo Alto Networks Unit 42

大檔案唔代表安全

攻擊者揀破解版,好現實。想裝破解嗰刻,好多人已經預咗要關警告、照開有密碼嘅壓縮檔、信「安裝包幾百 MB 都正常」呢套說法。Unit 42 話今次有樣本用檔名帶 .bin 嘅密碼壓縮檔派發,部分 loader 實際惡意內容只得 2.3MB,但用 null bytes 墊大到最高 491MB,避開只收 50 至 100MB 檔案嘅自動沙箱。即係安全系統有時未跑到樣本,用戶已經自己撳咗。

Unit 42 統計 2026 年 4 月中至 5 月初發現嘅 Vidar 樣本數量

圖片:Palo Alto Networks Unit 42

Vidar 偷帳號,XMRig 偷資源

Vidar 最麻煩嘅位,係佢瞄準瀏覽器儲存密碼、cookies 同加密貨幣錢包資料,唔係淨係令部機彈 error。cookies 特別煩,因為有啲登入狀態未必即刻要 2FA,攻擊者攞到 session 後可以試入電郵、雲端硬碟、社交帳號,甚至工作用 SaaS。Unit 42 評估營運者可能係 Vidar malware-as-a-service affiliate,即係有人租用 stealer 工具鏈賺兩邊錢:一邊賣登入資料同 cookies,一邊用 XMRig 偷你 CPU 效能去挖 Monero。

假簽署同假 Defender 名稱

今次仲有幾個防守細節值得 IT team 留意。Unit 42 話 43 個 loader 樣本都帶住假 Authenticode 簽署資料,顯示成 justwatch[.]com;佢哋亦講明 JustWatch 冇俾攻陷。另一批 DLL 變種扮 Windows Defender 嘅 MpClient.dll,用 DLL search-order hijacking 借正常 Windows 程序載入惡意副本。呢類手法嘅目的好簡單:令檔案望落似正常、路徑望落似 Microsoft,等人同工具都放鬆。

實際點避

普通用戶要做嘅嘢其實好悶,但有效:唔裝破解軟件;見到搜尋廣告扮官方下載,先停一停;只用開發商官網、Microsoft Store、App Store、GitHub release 呢類可追來源;瀏覽器同系統安全更新唔好拖;DNS 防護同廣告攔截可以擋走一部分惡意廣告。密碼方面,唔好將所有重要帳號長期困喺同一個瀏覽器,密碼管理器、passkey、MFA 都要開,電郵同雲端帳號優先。

開過可疑檔點收拾

如果你最近真係開過可疑破解檔,唔好淨係刪檔當冇事。先離線、用可信安全工具掃描,跟住喺另一部乾淨裝置改電郵、銀行、社交、公司帳號密碼,登出全部 session,重設 MFA recovery codes;有 crypto wallet 就要檢查 extension、有冇陌生授權,必要時搬走資產。細公司同自由工作者尤其要醒,因為一部平時做剪片、設計、報價嘅 PC,中招後可能連客戶檔案同公司 login 都一齊輸。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook