MSI Afterburner - popularny program do OC wykorzystywany przez hakerów do rozpowszechniania malware

Jeśli niedawno pobieraliście program MSI Afterburner, to warto sprawdzić system pod kątem złośliwego oprogramowania. Badacze odkryli, że wiele stron internetowych podszywa się pod oficjalną stronę MSI, aby nakłonić użytkowników do pobrania popularnego narzędzia do podkręcania zainfekowanego malware. 

Cyble Intelligence and Research Lab (CRIL) odkryło kilka kampanii phishingowych wykorzystujących MSI Afterburner, które za pośrednictwem ponad 50 fałszywych replik stron internetowych rozprzestrzeniają złośliwe oprogramowanie XMR (Monero) do wydobywania kryptowaluty i kradzieży informacji.

Popularność Afterburner sprawiła, że ​​cyberprzestępcy zaczęli używać programu jako sposobu dystrybucji złośliwego oprogramowania.

MSI Afterburner to darmowe narzędzie, które umożliwia podkręcanie, monitorowanie, testowanie i przechwytywanie wideo. Działa na wszystkich kartach graficznych, dzięki czemu program jest bardzo popularny wśród tych, którzy chcą wycisnąć nieco więcej ze swojego GPU. Możecie bezpiecznie pobrać to narzędzie ze strony producenta.

Popularność Afterburner sprawiła, że ​​cyberprzestępcy zaczęli używać programu jako sposobu dystrybucji złośliwego oprogramowania. CRIL pisze, że kampanie obejmują e-maile phishingowe, reklamy online i różne inne sposoby rozpowszechniania linków do fałszywych stron internetowych. Niektóre nazwy domen to msi-afterburner-download.site, msi-afterburner.download i mslafterburners.com.

Każdy, kto pobierze i uruchomi fałszywy plik instalacyjny MSI Afterburner, będzie mógł się cieszyć prawdziwą wersją oprogramowania. Jednak instalator dodaje również do komputera złośliwe oprogramowanie RedLine kradnące informacje i koparkę XMR.

Podobnie jak w przypadku innych złośliwych programów typu cryptojacking, program po kryjomu wykorzystuje nasz PC do kopania Monero przy użyciu zakodowanej na stałe nazwy użytkownika i hasła, zajmując ogromną ilość zasobów systemowych, co poważnie wpływa na wydajność. Bleeping Computer pisze, że malware aktywuje się dopiero 60 minut po wejściu procesora w stan bezczynności, więc na komputerze nie są uruchomione żadne programy wymagające dużej ilości zasobów. Taki czas oznacza również najpewniej, że urządzenie zostało pozostawione bez nadzoru.

W tym czasie RedLine Stealer działa w tle, kradnąc hasła, pliki cookie, informacje o przeglądarce i (potencjalnie) portfele kryptowalut. Co najgorsze, złośliwe elementy kampanii są wykrywane tylko przez niewielką liczbę programów antywirusowych, więc odkrycie infekcji może nie być takie proste.

To nie pierwszy raz, kiedy Afterburner jest używany do rozpowszechniania szkodliwych programów. W zeszłym roku MSI ostrzegało ludzi, aby nie odwiedzali duplikatu oficjalnej strony internetowej stworzonej przez hakerów, która zawierała złośliwe oprogramowanie udające aplikację do podkręcania.