假冒微星显卡超频工具 Afterburner 网站泛滥，劫持微软 Win10 / Win11 设备用于挖矿

朦胧的风

IT之家 11 月 24 日消息，根据安全公司 Cyble 发布的最新报告，在过去 3 个月时间里至少发生了 50 起玩家访问假冒微星 Afterburner 官方网站后，其信息被窃取、个人设备用于挖矿的安全事件。



IT之家了解到，这些钓鱼站点包括但不限于以下域名：

• msi-afterburner--download.site
• msi-afterburner-download.site
• msi-afterburner-download.tech
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com
  

在某些情况下，黑客所使用的域名并不像微星的品牌，很可能是通过直接信息、论坛和社交媒体帖子进行推广。例子包括：

• git[.]git[.]skblxin[.]matrizauto[.]net
• git[.]git[.]git[.]skblxin[.]matrizauto[.]net
• git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
• git[.]git[.]git[.]git[.]git[.]skblxin[.]matrizauto[.]net
  

用户一旦访问这些钓鱼网站下载 MSI Afterburner 安装文件（MSIAfterburnerSetup.msi），在安装过程中会悄悄地投放和运行 RedLine 信息窃取恶意软件和 XMR 挖矿程序。











挖矿是通过本地 Program Files 目录下一个名为“browser_assistant.exe”的 64 位 Python 可执行文件安装的，该文件在安装程序创建的进程中注入了一个壳代码。XMR 矿工使用的参数之一是 "CPU 最大线程" 设置为 20，高于大多数现代 CPU 线程数，因此它被设置为捕获所有可用的功率。

合法的 MSI Afterburner 可以直接从 MSI 下载，网址是 www.msi.com/Landing/afterburner/graphics-cards。

https://www.ithome.com/0/656/350.htm

yyz219

假冒产品要坚决打击

铭心

到处都要打假！！！