Windows 游戏玩家和高级用户正成为伪造的微星超频工具（MSI Afterburner）下载门户的目标，攻击者使用挖矿木马和 RedLine窃密木马感染用户。

MSI Afterburner 是一个 GPU 实用程序，可让您配置超频、创建风扇配置文件、执行视频捕获以及监控已安装显卡的温度和 CPU 使用率。

虽然该程序由 MSI 创建，但几乎所有显卡用户都可以使用该实用程序，导致全球数百万游戏玩家使用它来调整设置以提高游戏性能，使他们的 GPU 更安静，并实现更低的温度。

然而，该工具的流行也使其成为攻击者的良好目标。

根据 Cyble 的一份新报告，在过去三个月中，超过 50 个冒充 MSI Afterburner 的钓鱼网站出现，将 XMR (Monero) 挖矿木马与窃密木马一起推送。

恶意网站推送绑定的 MSI Afterburner (Cyble)

该活动使用的网页诱使用户访问假冒MSI微星官方网站，并使用SEO优化进行推广。

虚假MSI Afterburner 安装程序 (MSIAfterburnerSetup.msi)运行时，将安装合法的 Afterburner 程序。然后悄悄在受感染设备释放 RedLine 窃密木马和XMR门罗币挖矿木马。

挖矿木马通过本地 Program Files 目录中名为“browser_assistant.exe”的 64 位 Python 可执行文件安装，它将 shell 注入到安装程序创建的进程中。

此 shellcode 从 GitHub 存储库中检索 XMR 矿工，并将其直接注入到 explorer.exe 进程。由于挖矿过程实现无文件攻击（不在本地生成恶意文件），因此被安全软件检测到的机会被降到最低。

挖矿木马使用硬编码的用户名、密码连接到矿池，然后收集基本系统数据并将其上传到恶意C2服务器。

挖矿木马试图隐藏的 Windows 应用程序是 Taskmgr.exe、ProcessHacker.exe、perfmon.exe、procexp.exe 和 procexp64.exe。

当挖矿木马劫持计算机资源来挖掘门罗币（Monero）时，RedLine 已经在后台运行，窃取密码、cookie、浏览器信息，并可能窃取任何加密货币钱包。

目前这个假冒的超频工具（MSI Afterburner）很少被防病毒软件检测到。VirusTotal 报告说，恶意“MSIAfterburnerSetup.msi” 安装文件仅被 56 款安全产品中的 3 款检测到，而“ browser_assistant.exe ”仅被 67 款产品中的 2 款检测到。