我們最近發現流行軟件的虛假安裝程序被用來將惡意軟件捆綁包傳送到受害者的設備上。這些安裝程序被廣泛使用，誘使用戶打開惡意文檔或安裝不需要的應用程序。

　　眾所周知，在網絡安全方面，用戶的安全操作環節通常被認為是最薄弱的環節。這意味著它們成為攻擊的入口并經常成為黑客的常見社會工程目標。通過終端用戶，黑客再逐步地發起對企業的攻擊。員工有時并不知道是否受到網絡攻擊，或者不熟悉網絡安全最佳實踐，而攻擊者則確切地知道如何利用這種安全漏洞。

　　攻擊者欺騙用戶的一種方式是使用未經授權的應用程序或帶有惡意載荷的安裝程序來發起攻擊。我們最近發現其中一些虛假安裝程序被用來將惡意軟件捆綁包傳送到受害者的設備上。這些虛假安裝程序并不是攻擊者使用的新技術。事實上，它們是一種古老且廣泛使用的誘餌，可誘使用戶打開惡意文檔或安裝不需要的應用程序。一些用戶在互聯網上搜索免費或付費應用程序的破解版本時就會被誘導下載虛假版本。

　　當用戶試圖下載破解版的非惡意應用程序，這些應用程序具有有限的免費版本和付費完整版本，特別是 TeamViewer（遠程連接和參與解決方案應用程序）、VueScan Pro（掃描儀驅動程序應用程序）、Movavi Video Editor（多合一的視頻制作工具），以及適用于 macOS 的 Autopano Pro（用于自動拼接圖片的應用程序）。

　　我們在此深入探討的一個示例涉及一名用戶試圖下載未經授權的 TeamViewer 版本（該應用程序之前實際上已被用作木馬間諜軟件）。用戶下載了偽裝成應用程序破解安裝程序的惡意文件。

　　用戶下載的惡意文件

　　下載并執行這些文件后，其中一個子進程創建了其他文件和可執行文件 setup.exe/setup-installv1.3.exe，該文件是通過 WinRAR.exe 從 320yea_Teamviewer_15206.zip 中提取的。這個文件似乎是大部分下載的惡意文件的來源，如下圖所示。

　　通過 WinRar.exe 解壓 setup-installv1.3.exe

　　之后，文件 aae15d524bc2.exe 被刪除并通過命令提示符執行。然后生成一個文件 C:\Users\{username}\Documents\etiKyTN_F_nmvAb2DF0BYeIk.exe，依次啟動 BITS 管理下載。BITS admin 是一個命令行工具，可以幫助監控進度以及創建、下載和上傳作業。該工具還允許用戶從 Internet 獲取任意文件，這是攻擊者可以濫用的功能。

　　BITS 管理執行檢測

　　我們還觀察到瀏覽器憑據存儲中的信息被攻擊者獲取。具體來說，C:\Users\{username}\AppData\Local\Microsoft\Edge\User Data\Default\Login 中存儲的數據被復制。存儲在瀏覽器中的憑據通常是關鍵的個人數據，攻擊者可能會利用這些數據訪問個人、企業或財務帳戶。攻擊者甚至可以在地下市場編譯和出售這些信息。

　　為了保持攻擊持久有效，在 AutoStart 注冊表中輸入了一個可執行文件并創建了一個計劃任務：

　　創建計劃任務：C:\Windows\System32\schtasks.exe /create /f/sc onlogon /rl high /tn“services64”/tr ‘“C:\Users\{username}\AppData\Roaming\services64.exe” ’；

　　自動啟動注冊表：HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prun:C:\WINDOWS\PublicGaming\prun.exe；

　　如上所述，這些案例的發生是因為用戶搜索免費應用程序并相信有人會將破解或被盜的完整版本放在網上以示善意。但正如我們所見，攻擊者只是向誘騙目標下載惡意程序。

　　在下圖中，我們可以看到一個木馬化的 VueScan 文件已經在 Downloads 文件夾中并且由合法用戶執行。

　　解壓61193b_VueScan-Pro-974.zip創建了一個新的過程

　　在執行 setup_x86_x64_install.exe 之后，它創建并執行了一個名為 setup_installer.exe 的新文件，該文件刪除了多個文件并查詢了多個域。這些域中的大多數都是惡意的，如下圖所示。

　　刪除惡意文件查詢幾個域

　　此惡意載荷還表現出后門行為，我們可以看到攻擊者正在監聽以下頻道：127.0.0.1:53711 和 127.0.0.1:53713。這讓攻擊者可以在計算機中立足，通過這種方式，他們可能會在網絡中橫向移動，如果是企業設備，則可能會危及關鍵的公司資產。

　　其他虛假安裝程序也有類似的行為，利用用戶嘗試下載未經授權的應用程序破解程序/激活程序或非法完整版本，這些感染會為以后的訪問創建持久性。

　　這種威脅有多普遍？

　　偽裝的惡意安裝程序和應用程序通常用于將惡意軟件加載到受害者的設備上。最近的一些例子是廣泛使用的偽造加密貨幣挖掘應用程序，它們利用了新手加密挖礦程序和偽造的 Covid-19 更新應用程序。在跟蹤當前這批虛假安裝程序時，我們能夠檢測到世界各地正在發生的攻擊事件。起初，我們并沒有將這些特定事件歸類為有針對性的攻擊，主要是因為在這種情況下，用戶都會主動搜索應用程序破解程序或未破解版本的軟件。但是，即使這些最初不是有針對性的攻擊，它們以后也可能導致被攻擊，因為攻擊者已經潛伏在計算機中。除了加載惡意軟件之外，攻擊者還可以利用他們的初始訪問權限進行惡意活動，例如攻擊公司的虛擬專用網絡 （VPN），他們甚至可以將訪問權出售給其他網絡犯罪團伙，例如勒索軟件運營商。需要強調的是，攻擊者使用觸手可及的所有工具，甚至合法的應用程序也可以被武器化。

　　當然，我們也知道軟件盜版在很多地區都很普遍。從上圖的數據，我們可以推測它仍然是對安全的主要威脅。用戶必須更加了解這些非法安裝應用可能持有的威脅，并實施更嚴格的安全措施，以便在他們的個人和工作設備上安裝和執行來自網絡的應用程序。

　　隨著遠程辦公成為主要趨勢，還有其他物理連接的設備，如物聯網 （IoT）、個人手機和個人電腦，但安全性較弱。這帶來了一個問題，因為惡意軟件可以在同一網絡上從個人設備迅速傳播到企業電腦。

　　虛假安裝程序的惡意功能

　　我們能夠分析一些捆綁在安裝程序中的惡意文件。它們的功能各不相同，從加密貨幣挖掘到從社交媒體應用程序中竊取憑據。具體如下：

　　Trojan.Win32.MULTDROPEX.A

　　惡意文件的主要傳播器

　　偽裝成合法應用程序的破解程序/安裝程序

　　Trojan.Win32.SOCELARS.D

　　收集有關設備的信息

　　收集瀏覽器信息

　　收集社交媒體信息（Instagram 和 Facebook）

　　從 Steam 應用程序收集信息

　　傳播負責進一步竊取 Facebook/信用卡/支付憑證的 Google Chrome 擴展程序

　　Trojan.Win32.DEALOADER.A

　　惡意軟件下載程序

　　URL未激活，但根據研究可能是另一個竊取程序

　　TrojanSpy.Win32.BROWALL.A

　　收集瀏覽器信息

　　收集加密貨幣錢包信息

　　TrojanSpy.Win32.VIDAR.D

　　收集瀏覽器信息

　　收集憑據

　　Trojan.Win64.REDLINESTEALER.N

　　執行來自遠程用戶的命令

　　收集有關設備的信息

　　收集瀏覽器信息

　　收集 FTP 客戶端信息

　　收集 VPN 信息

　　收集加密貨幣錢包信息

　　從其他應用程序（Discord、Steam、Telegram）收集信息

　　Coinminer.MSIL.MALXMR.TIAOODBL

　　下載 Discord 上托管的挖礦模塊

　　XMR挖礦程序

　　通過計劃任務和自動運行注冊表安裝持久性

　　如何保護自己免受惡意軟件的威脅

　　如上所述，虛假安裝程序雖然由來已久，但它們仍然是廣泛使用的惡意軟件傳播途徑。攻擊者上傳越來越多這些虛假文件的原因很簡單，因為它們可以高效發起攻擊。用戶下載并執行這些安裝程序，這讓攻擊者可以在個人設備中保持持久性，并為他們提供進入公司網絡的途徑。

　　為了對抗這種威脅，用戶首先得意識到從不受信任的網站下載文件的影響。另外，需要采用多層安全方法。，如果一層保護失敗，還有其他保護層可以防止威脅。應用程序控制將有助于防止執行可疑文件。限制不需要訪問的用戶的管理員權限也是一個很好的預防措施。