Vírus áldozata lett az MSI Afterburner szoftver

​Vírusterjesztők az MSI Afterburner szoftvert vették célba, és manipulált telepítők révén próbálják a kártékony kódjaikat feljuttatni a számítógépekre.
 

A játékosok körében világszerte széles körben használt MSI Afterburner népszerűsége a kiberbűnözőket - nem először - arra sarkallta, hogy a szoftverrel különféle visszaéléseket kövessenek el. A legutóbbi akciójuk során az eredeti telepítőt manipulálták, majd meglehetősen széles körű kampányt indítottak annak érdekében, hogy a fertőzött fájlt minél többen töltsék le. A Cyble szakemberei szerint ehhez egyebek mellett több mint ötven weboldalt hoztak létre, egyebek mellett az alábbi, meglehetősen megtévesztő nevekkel ellátott domainek alatt:

• msi-afterburner-download.site
• msi-afterburner-download.tech
• msi-afterburner-download.online
• msi-afterburner-download.store
• msi-afterburner-download.ru
• msi-afterburner.download
• mslafterburners.com
• msi-afterburnerr.com

 
Amennyiben egy felhasználó egy ilyen kártékony weblapról tölti le a szoftvert, akkor a számítógépére először felkerül a teljesen ártalmatlan MSI Afterburner, ami miatt nem is biztos, hogy gyanakodni kezd az áldozat, hiszen látszólag minden úgy működik, ahogy azt várja. Csakhogy a háttérben egyéb folyamatok is lezajlanak a tudta nélkül. Így például a „Program Files” mappába bekerül egy Python alapú, "browser_assistant.exe" nevű fájl. Ez felelős azért, hogy a PC-re további nemkívánatos programok jussanak fel. Ezek közé tartozik a háttérben a GitHubról letöltött, kripotbányászatra alkalmas XMR alkalmazás, valamint a RedLine trójai is. Ez utóbbi károkozó elsősorban adatlopásban segíti a csalókat.
 
A vírusírók arra is ügyelnek, hogy lehetőleg minél hosszabb ideig tudják kiaknázni a megfertőzött PC-k erőforrásait kriptobányászati célokra, ezért a bányászati ténykedésüket úgy paraméterezik, hogy az akkor fusson, ha a számítógépet a felhasználó legalább egy órája nem használja. Emellett a rejtőzködést az is segíti, hogy jól ismert Windows-os folyamatokat (például az explorer.exe-t) fertőznek meg. Emellett letiltják a Feladatkezelőt és az egyéb, folyamatok monitorozására használható alkalmazásokat.
 
A biztonsági szakemberek az MSI Afterburner esetében is azt javasolták, hogy a szoftvert közvetlenül a hivatalos weboldalról töltsük le.