安全公司DomainTools披露，黑客伪造Bitdefender杀毒软件网站，诱骗用户下载恶意木马。黑客通过付费推广，使山寨网站出现在搜索结果前列。用户下载并运行虚假安装程序后，电脑将感染VenomRAT木马，窃取密码等敏感信息，并为黑客提供远程访问权限。该木马包含StormKitty和SilentTrinity组件，分别负责信息收集和数据外传。研究人员发现，黑客可能同时运营多个山寨网站，进行大规模网络钓鱼活动，提醒用户警惕。

💻 黑客伪造Bitdefender杀毒软件网站，通过付费购买搜索权重等方式进行推广，诱骗用户下载恶意软件。

⚠️ 用户下载并运行山寨网站提供的安装程序后，电脑会感染VenomRAT木马，该木马包含StormKitty和SilentTrinity两个组件。

🔑 StormKitty负责收集用户电脑上的密码凭据等敏感信息，而SilentTrinity则将窃取的数据发送至黑客服务器。

🚪 VenomRAT木马会敞开端口，为黑客提供远程访问受害电脑的通道，方便黑客进行进一步的恶意操作。

🌐 研究人员发现，黑客使用的恶意域名与此前用于假冒银行、IT服务网站的域名有交集，推测其可能同时运营多个山寨网站，进行大规模网络钓鱼活动。

IT之家 5 月 31 日消息，安全公司 DomainTools 发文，透露有黑客伪造网站声称提供杀毒软件，实则借机传播恶意木马。

IT之家参考相应通报获悉，相应黑客首先建立山寨 Bitdefender 杀毒软件网站，之后通过付费购买搜索权重、广告等方式推广相应网站。一旦用户被骗从网站中下载并运行所谓的安装程序，电脑便会感染 VenomRAT 木马，该木马会搜集用户电脑上存储的密码凭据发送至黑客架设的服务器，还会敞开端口为黑客提供远程访问通道。

研究人员表示，上述网站与正版页面的主要区别之一是黑客移除了页面上“Free”字样，但除此之外几乎完全相同。此外，假网站中的“Download For Windows”按钮，表面上看起来是指向代码托管平台 Bitbucket 的下载链接，实际上用户点击后便会被重定向到亚马逊 AWS S3 存储库，下载一个名为“BitDefender.zip”的压缩包。

当用户解压并运行其中的 StoreInstaller.exe 程序后，电脑便会运行 VenomRAT 木马，相应木马包含两个主要组件：StormKitty 和 SilentTrinity，均为开源后渗透框架。其中 StormKitty 用于在系统中收集账号和密码等信息，而 SilentTrinity 则负责将窃取的数据外传至黑客设置的服务器中，并敞开端口便于为黑客远程控制访问受害电脑。

值得一提的是，黑客用来架设这个山寨网站的恶意域名，与此前用于假冒银行网站、假 IT 服务网站的域名有交集。研究人员认为，相应黑客可能同时坐拥大量山寨网站，进行大规模网络钓鱼活动。