資安業者SonicWall警告,駭客建置了一個仿冒WinRAR官網的網站,這個以假亂真的網站網址為win-rar.co,與正牌官網win-rar.com只有一個字母之差。(圖片來源/SonicWall)

美國資安業者SonicWall上周警告,駭客建置了一個仿冒為WinRAR官網的網站,也打造了一個偽造的WinRAR程式,不察的使用者在安裝後即會自GitHub下載一系列的惡意程式。這個以假亂真的網站網址為win-rar.co,與正牌官網win-rar.com只有一個字母之差。

WinRAR是由win.rar GmbH工程師Eugene Roshal所開發的檔案壓縮工具,主要支援Windows,號稱是全球最熱門的壓縮工具,擁有超過5億用戶。win.rar GmbH也開發了跨平臺的命令列版本RAR,支援Android的RAR for Android,以及專門解壓縮的UnRAR。

上述工具被統稱為RARLAB產品,官網為rarlab.com,而win-rar.com則是win.rar GmbH的官網,兩個網站都可取得合法的WinRAR版本。

總之駭客取得了win-rar.co網址,也將介面設計得跟官網win-rar.com一模一樣,並提供使用者下載最新的WinRAR 7.01,但事實上卻將使用者導至由駭客控制的GitHub專案以下載各種惡意程式,包括可將自己自Windows Defender中排除的工具、可自遠端存取系統的HVNC、勒索軟體Locker、挖礦程式、資訊竊取程式Kematian Stealer及蠕蟲等。

目前假冒的win-rar.co網址已無法存取,而SonicWall亦尚未於單一攻擊行動中看到該GitHub專案中的所有惡意元件。

文章來源