安全研究人員最近發現一隻假冒惡意程式,不但會偷偷下載挖礦軟體到用戶電腦,還會幫用戶更新Flash Player以降低用戶警覺心。
惡意程式冒充Adobe Flash Player安裝程式下載的事情時有所聞。大部份情況下,這類惡意程式都以拙劣冒充的執行檔或腳本下載程式安裝加密貨幣挖礦程式、竊密軟體或勒索軟體。受害者一旦執行了這些冒牌Flash下載程式到Windows電腦,除了勒索軟體外,往往沒有什麼明顯活動。
但Palo Alto Unit 42安全研究人員Brad Duncan間發現的Flash安裝程式卻很不一樣,除了安裝XMRig等挖礦軟體外,還真的幫受害電腦上的Flash Player更新到最新版。
研究人員今年3月到9月在非Adobe的網頁伺服器上發現上百隻名為AdobeFlashPlayer的Windows執行檔,經解析都是挖礦軟體。其中一些套用了正牌Adobe Flash安裝程式的跳出通知,它在下載到Windows電腦上後會開始下載檔案。此時Windows 跳出安全警告,告知有不知名出版商意圖變更電腦。由於顯示的是「AdobeFlashPlayer」程式,會讓使用者誤認為是Adobe合法軟體,而在按下同意後,電腦也的確顯示Flash Player更新正在下載安裝的跳出視窗。事實上,使用者渾然不知XMRig挖礦軟體此時正在背景執行中。
研究人員指出,這種手法以合法的Flash更新行為掩護非法的手法,可使受害者無從察覺異狀,而讓XMRig或其他惡意軟體得以暗中從事非法活動。