Недавно устанавливавшим приложение MSI Afterburner пользователям есть смысл проверить компьютеры на наличие вирусов. Специалисты по информационной безопасности пришли к выводу, что некоторое число сайтов выдавали себя за официальный сайт компании MSI. Это позволяло им обмануть пользователей, которые скачивали с этих сайтов поддельную программу для разгона.
Лаборатория Cyble Intelligence and Research Lab (CRIL) зафиксировала проведение нескольких фишинговых кампаний. В них MSI Afterburner используется для доставки вредоносного ПО для криптомайнинга и кражи информации посредством через более 50 поддельных сайтов.
MSI Afterburner представляет собой бесплатную утилиту для разгона и контроля видеокарт. Она работает со всеми моделями видеокарт, отчего и является настолько популярной. Эта популярность привела к тому, что киберпреступники стали использовать MSI Afterburner как средство распространения вредоносных программ. CRIL пишет, что применяются фишинговые электронные письма, онлайн-реклама и другие способы распространения ссылок на поддельные сайты. Среди их доменных имен есть msi-afterburner-download.site, msi-afterburner.download и mslaftburners.com.
Любой скачавший и запустивший поддельный установочный файл MSI Afterburner получит подлинную программу. Вот только вместе с ней на компьютере окажется приложение RedLine для кражи данных и майнер криптовалюты XMR.
Как и в других похожих случаях, майнер подключается к пулу для майнинга Monero с применением жёстко прописанного логина и пароля. После этого компьютер начинает майнить, греться, шуметь, расходовать много электроэнергии и тормозить. Фирма Bleeping Computer сообщает, что майнер активируется только через 60 минут простоя процессора, когда на компьютере не запущены никакие ресурсоемкие программы. Это же должно означать, что за компьютером в настоящее время никто не сидит.
RedLine Stealer работает в фоновом режиме, крадя пароли, файлы куки, информацию из браузера и даже криптовалютные кошельки. Программу обнаруживает лишь малая часть антивирусов.
Это не первый случай злоупотребления приложением Afterburner. В прошлом году MSI предупредила людей, чтобы они не заходили на копию её официального сайта. Она была создана хакерами и содержала вредоносное программное обеспечение под видом MSI Afterburner, пишет Techspot.
