以假乱真：不法分子伪造 Microsoft Store 页面以窃取加密货币

蓝天二号

IT之家 4 月 21 日消息 网络安全公司 ESET 发现，有骇客正在推广伪造的 Microsoft Store 网页，Spotify 和某个在线文档转换器网站，这些网站虽然不钓鱼但会帮助不法分子推广恶意软件以窃取保存在用户浏览器中的信用卡和密码等信息。

ESET 安全检测实验室负责人 Jiri Kropac 称，这些攻击通过恶意广告进行触发，当用户点击这种看似合法的 App 广告会转到他们早已设定好的假冒官网的页面。

例如，下图攻击中伪造的广告便是在线版的国际象棋，如下所示。

然后，当用户点击广告时，就会跳转到虚假的 Microsoft Store 页面，以获取虚假的“xChess 3”在线国际象棋应用程序，之后就会自动从 Amazon AWS 服务器下载恶意程序。

然而浏览器根本分辨不出来这是否是微软官网。

它接下来会自动下载一个名为“xChess_v.709.zip”[ VirusTotal ] 的压缩包，实际上是变相的“ Ficker”或“ FickerStealer”木马。

此外，这种恶意软件还有其他的样子，例如伪装成 Spotify（如下所示）或在线文档转换器的广告，但同样会自动下载包含 Ficker 恶意软件的 zip 文件。

当用户解压缩文件并打开可执行文件后，Ficker 恶意软件便会运行并开始偷偷窃取存储在其 PC 上的数据，例如浏览器中保持的隐私数据，社交程序（Pidgin，Steam，Discord）和 FTP 客户端中保存的凭据等，也就是说他会盗走你的 Steam 账号。

除了窃取密码外，开发人员还声称该恶意软件可以窃取 15 种以上的加密货币钱包、用户文档以及为受害者电脑上的截图等。

总的来说，ESET 认为这种恶意软件的危害性很大，并建议受影响的用户立即更改密码，检查防火墙设置以获取可疑的端口转发规则，并对电脑进行彻底的病毒扫描。