國家計算機(jī)病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)有廣告惡意軟件安裝名為Pirate Chick的VPN軟件,該VPN軟件會連接到遠(yuǎn)程服務(wù)器來下載和安裝惡意payload——AZORult信息竊取木馬。因為廣告惡意軟件需要看起來盡可能合法和合理����,該惡意軟件要求用戶同意隱私政策和知情同意,所以看起來跟真的網(wǎng)站完全一致����。惡意軟件使用的是一家英國的ATX國際公司的證書進(jìn)行簽名,這樣使可執(zhí)行文件更加可信�����。研究人員也發(fā)現(xiàn)大多數(shù)簽名的惡意軟件都與英國公司相關(guān)聯(lián)�����。
當(dāng)執(zhí)行Pirate Chick VPN的安裝文件時����,它會下載和安裝一個payload到%Temp%文件夾并執(zhí)行該payload。之前的payload是AZORult信息竊取器木馬�����,現(xiàn)在的payload變成了進(jìn)程監(jiān)控器,作為啟動另外的攻擊活動的臨時填充��。
目前Pirate Chick VPN已經(jīng)不再安裝密碼竊取器木馬�����,但是會連接到站點(diǎn)���,下載和運(yùn)行混淆版的Procmon.exe��。而且攻擊者很容易就可以將其替換為其他想要安裝的惡意軟件����。
針對該惡意程序所造成的危害�,建議用戶做好安全防護(hù),在所使用的計算機(jī)中安裝安全防護(hù)軟件���,并將病毒庫版本升級至最新版。同時��,關(guān)閉不必要的端口��,并安裝防火墻��,以免使電腦受到該惡意程序的危害。