美国安全企业SonicWall上周警告,黑客构建了一个仿冒为WinRAR官网的网站,也打造了一个伪造的WinRAR程序,不察的用户在安装后即会自GitHub下载一系列的恶意程序。这个以假乱真的网站网址为win-rar.co,与正牌官网win-rar.com只有一个字母之差。
WinRAR是由win.rar GmbH工程师Eugene Roshal所开发的文件压缩工具,主要支持Windows,号称是全球最热门的压缩工具,拥有超过5亿用户。win.rar GmbH也开发了跨平台的命令行版本RAR,支持Android的RAR for Android,以及专门解压缩的UnRAR。
上述工具被统称为RARLAB产品,官网为rarlab.com,而win-rar.com则是win.rar GmbH的官网,两个网站都可取得合法的WinRAR版本。
总之黑客取得了win-rar.co网址,也将界面设计得跟官网win-rar.com一模一样,并提供用户下载最新的WinRAR 7.01,但事实上却将用户跳转至由黑客控制的GitHub项目以下载各种恶意程序,包括可将自己自Windows Defender中排除的工具、可自远程访问系统的HVNC、勒索软件Locker、挖矿程序、资讯窃取程序Kematian Stealer及蠕虫等。
目前假冒的win-rar.co网址已无法访问,而SonicWall也尚未于单一攻击行动中看到该GitHub项目中的所有恶意组件。
