5 月 31 日消息，安全公司 DomainTools 发文，透露有黑客伪造网站声称提供杀毒软件，实则借机传播恶意木马。

参考相应通报获悉，相应黑客首先建立山寨 Bitdefender 杀毒软件网站，之后通过付费购买搜索权重、广告等方式推广相应网站。一旦用户被骗从网站中下载并运行所谓的安装程序，电脑便会感染 VenomRAT 木马，该木马会搜集用户电脑上存储的密码凭据发送至黑客架设的服务器，还会敞开端口为黑客提供远程访问通道。

研究人员表示，上述网站与正版页面的主要区别之一是黑客移除了页面上“Free”字样，但除此之外几乎完全相同。此外，假网站中的“Download For Windows”按钮，表面上看起来是指向代码托管平台 Bitbucket 的下载链接，实际上用户点击后便会被重定向到亚马逊 AWS S3 存储库，下载一个名为“BitDefender.zip”的压缩包。

▲ 左为山寨网站，右为正版网站

当用户解压并运行其中的 StoreInstaller.exe程序后，电脑便会运行 VenomRAT 木马，相应木马包含两个主要组件：StormKitty 和 SilentTrinity，均为开源后渗透框架。其中 StormKitty 用于在系统中收集账号和密码等信息，而 SilentTrinity 则负责将窃取的数据外传至黑客设置的服务器中，并敞开端口便于为黑客远程控制访问受害电脑。

值得一提的是，黑客用来架设这个山寨网站的恶意域名，与此前用于假冒银行网站、假 IT 服务网站的域名有交集。研究人员认为，相应黑客可能同时坐拥大量山寨网站，进行大规模网络钓鱼活动。