自从接触互联网以来,我一直被警告在下载任何文件前必须验证来源,特别是程序或可执行文件。这条准则至今依然适用,只是网络威胁已变得更加严重。近期网络安全团队就发现,流行的密码管理软件KeePass(密码管家)的篡改版本正在传播勒索病毒。
黑客沿用老套路,注册了多个与正版KeePass.info高度相似的“山寨”域名。这些伪造网站几乎完美复刻了官方界面,提供密码管理器的下载链接。但WithSecure公司的调查显示,黑客不仅通过假网站传播常规恶意软件——他们直接修改了开源版KeePass程序,还使用合法证书对安装包进行签名以伪装正版。
这个被感染的版本表面能正常管理密码,暗地里却在窃取用户登录凭证、植入勒索病毒载荷,并通过局域网感染其他兼容设备。一旦激活,黑客就能远程加密受害机器,肆意窃取数据并匿名勒索赎金。
这些伪造程序被上传至多个域名,基本都是正版域名的拼写错误变体。据BleepingComputer披露,黑客通过微软必应(Bing)搜索引擎的广告推广假网站——这款搜索引擎正是Windows系统和Edge浏览器的默认配置。这已不是搜索引擎首次因付费广告传播恶意软件而陷入争议。但要求普通用户对权威公司投放的广告保持警惕显然不合情理,广告位供应商本应承担审核责任,可惜他们明显缺乏威胁应对机制。
截至发稿时,至少一个伪造域名仍在活跃运营,其逼真程度足以以假乱真。坦白说,即便像我这样谨慎的科技撰稿人也可能中招——特别是当通过所谓的“非搜索广告”跳转时。
