我們最近發現流行軟體的虛假安裝程式被用來將惡意軟體捆綁包傳送到受害者的裝置上。這些安裝程式被廣泛使用，誘使使用者開啟惡意文件或安裝不需要的應用程式。

眾所周知，在網路安全方面，使用者的安全操作環節通常被認為是最薄弱的環節。這意味著它們成為攻擊的入口並經常成為駭客的常見社會工程目標。透過終端使用者，駭客再逐步地發起對企業的攻擊。員工有時並不知道是否受到網路攻擊，或者不熟悉網路安全最佳實踐，而攻擊者則確切地知道如何利用這種安全漏洞。

當用戶試圖下載破解版的非惡意應用程式，這些應用程式具有有限的免費版本和付費完整版本，特別是 TeamViewer（遠端連線和參與解決方案應用程式）、VueScan Pro（掃描器驅動程式應用程式）、Movavi Video Editor（多合一的影片製作工具），以及適用於 macOS 的 Autopano Pro（用於自動拼接圖片的應用程式）。

使用者下載的惡意檔案

下載並執行這些檔案後，其中一個子程序建立了其他檔案和可執行檔案 setup。exe/setup-installv1。3。exe，該檔案是透過 WinRAR。exe 從 320yea_Teamviewer_15206。zip 中提取的。這個檔案似乎是大部分下載的惡意檔案的來源，如下圖所示。

透過 WinRar。exe 解壓 setup-installv1。3。exe

之後，檔案 aae15d524bc2。exe 被刪除並透過命令提示符執行。然後生成一個檔案 C：\Users\\Documents\etiKyTN_F_nmvAb2DF0BYeIk。exe，依次啟動 BITS 管理下載。BITS admin 是一個命令列工具，可以幫助監控進度以及建立、下載和上傳作業。該工具還允許使用者從 Internet 獲取任意檔案，這是攻擊者可以濫用的功能。

BITS 管理執行檢測

我們還觀察到瀏覽器憑據儲存中的資訊被攻擊者獲取。具體來說，C：\Users\\AppData\Local\Microsoft\Edge\User Data\Default\Login 中儲存的資料被複制。儲存在瀏覽器中的憑據通常是關鍵的個人資料，攻擊者可能會利用這些資料訪問個人、企業或財務帳戶。攻擊者甚至可以在地下市場編譯和出售這些資訊。

為了保持攻擊持久有效，在 AutoStart 登錄檔中輸入了一個可執行檔案並建立了一個計劃任務：

建立計劃任務：C：\Windows\System32\schtasks。exe /create /f/sc onlogon /rl high /tn“services64”/tr ‘“C：\Users\\AppData\Roaming\services64。exe” ’；

自動啟動登錄檔：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prun：C：\WINDOWS\PublicGaming\prun。exe；

如上所述，這些案例的發生是因為使用者搜尋免費應用程式並相信有人會將破解或被盜的完整版本放在網上以示善意。但正如我們所見，攻擊者只是向誘騙目標下載惡意程式。

在下圖中，我們可以看到一個木馬化的 VueScan 檔案已經在 Downloads 資料夾中並且由合法使用者執行。

解壓61193b_VueScan-Pro-974。zip建立了一個新的過程

在執行 setup_x86_x64_install。exe 之後，它建立並執行了一個名為 setup_installer。exe 的新檔案，該檔案刪除了多個檔案並查詢了多個域。這些域中的大多數都是惡意的，如下圖所示。

刪除惡意檔案查詢幾個域

此惡意載荷還表現出後門行為，我們可以看到攻擊者正在監聽以下頻道：127。0。0。1：53711 和 127。0。0。1：53713。這讓攻擊者可以在計算機中立足，透過這種方式，他們可能會在網路中橫向移動，如果是企業裝置，則可能會危及關鍵的公司資產。

這種威脅有多普遍？

偽裝的惡意安裝程式和應用程式通常用於將惡意軟體載入到受害者的裝置上。最近的一些例子是廣泛使用的偽造加密貨幣挖掘應用程式，它們利用了新手加密挖礦程式和偽造的 Covid-19 更新應用程式。在跟蹤當前這批虛假安裝程式時，我們能夠檢測到世界各地正在發生的攻擊事件。起初，我們並沒有將這些特定事件歸類為有針對性的攻擊，主要是因為在這種情況下，使用者都會主動搜尋應用程式破解程式或未破解版本的軟體。但是，即使這些最初不是有針對性的攻擊，它們以後也可能導致被攻擊，因為攻擊者已經潛伏在計算機中。除了載入惡意軟體之外，攻擊者還可以利用他們的初始訪問許可權進行惡意活動，例如攻擊公司的虛擬專用網路 （VPN），他們甚至可以將訪問權出售給其他網路犯罪團伙，例如勒索軟體運營商。需要強調的是，攻擊者使用觸手可及的所有工具，甚至合法的應用程式也可以被武器化。

當然，我們也知道軟體盜版在很多地區都很普遍。從上圖的資料，我們可以推測它仍然是對安全的主要威脅。使用者必須更加了解這些非法安裝應用可能持有的威脅，並實施更嚴格的安全措施，以便在他們的個人和工作裝置上安裝和執行來自網路的應用程式。

隨著遠端辦公成為主要趨勢，還有其他物理連線的裝置，如物聯網 （IoT）、個人手機和個人電腦，但安全性較弱。這帶來了一個問題，因為惡意軟體可以在同一網路上從個人裝置迅速傳播到企業電腦。

虛假安裝程式的惡意功能

我們能夠分析一些捆綁在安裝程式中的惡意檔案。它們的功能各不相同，從加密貨幣挖掘到從社交媒體應用程式中竊取憑據。具體如下：

Trojan.Win32.MULTDROPEX.A

惡意檔案的主要傳播器

偽裝成合法應用程式的破解程式/安裝程式

Trojan.Win32.SOCELARS.D

收集有關裝置的資訊

收集瀏覽器資訊

收集社交媒體資訊（Instagram 和 Facebook）

從 Steam 應用程式收集資訊

傳播負責進一步竊取 Facebook/信用卡/支付憑證的 Google Chrome 擴充套件程式

Trojan.Win32.DEALOADER.A

惡意軟體下載程式

URL未啟用，但根據研究可能是另一個竊取程式

TrojanSpy.Win32.BROWALL.A

收集瀏覽器資訊

收集加密貨幣錢包資訊

TrojanSpy.Win32.VIDAR.D

收集瀏覽器資訊

收集憑據

Trojan.Win64.REDLINESTEALER.N

執行來自遠端使用者的命令

收集有關裝置的資訊

收集瀏覽器資訊

收集 FTP 客戶端資訊

收集 VPN 資訊

收集加密貨幣錢包資訊

從其他應用程式（Discord、Steam、Telegram）收集資訊

Coinminer.MSIL.MALXMR.TIAOODBL

下載 Discord 上託管的挖礦模組

XMR挖礦程式

透過計劃任務和自動執行登錄檔安裝永續性

如何保護自己免受惡意軟體的威脅

如上所述，虛假安裝程式雖然由來已久，但它們仍然是廣泛使用的惡意軟體傳播途徑。攻擊者上傳越來越多這些虛假檔案的原因很簡單，因為它們可以高效發起攻擊。使用者下載並執行這些安裝程式，這讓攻擊者可以在個人裝置中保持永續性，併為他們提供進入公司網路的途徑。

為了對抗這種威脅，使用者首先得意識到從不受信任的網站下載檔案的影響。另外，需要採用多層安全方法。，如果一層保護失敗，還有其他保護層可以防止威脅。應用程式控制將有助於防止執行可疑檔案。限制不需要訪問的使用者的管理員許可權也是一個很好的預防措施。

參考及來源：https：//www。trendmicro。com/en_us/research/21/i/fake-installers-drop-malware-and-open-doors-for-opportunistic-attackers。html