窃取您的密码、信用卡和加密钱包的恶意软件正在通过 CCleaner Pro Windows 优化程序的盗版副本的搜索结果进行推广。

这种新的恶意软件分发活动被称为“FakeCrack”，由 Avast 的分析师发现，他们报告称，每天从其客户遥测数据中检测到平均 10,000 次感染尝试。这些受害者中的大多数来自法国、巴西、印度尼西亚和印度。

此活动中分发的恶意软件是一种强大的信息窃取程序，可以收集个人数据和加密货币资产，并通过数据窃取代理路由互联网流量。

黑帽 SEO 活动
威胁行为者遵循黑帽 SEO 技术，在谷歌搜索结果中将他们的恶意软件分发网站排名靠前，这样更多的人将被诱骗下载带花边的可执行文件。

Avast 看到的诱惑是 CCleaner Professional 的破解版，这是一种流行的 Windows 系统清洁器和性能优化器，仍然被许多用户认为是“必备”实用程序。

指向恶意网站的 Google 搜索结果 (Avast)
中毒的搜索结果会引导受害者浏览多个网站，这些网站最终会显示一个提供 ZIP 文件下载的登录页面。此登录页面通常托管在合法的文件托管平台上，例如 filesend.jp 或 mediafire.com。

恶意软件分发门户 (Avast)
ZIP 使用“1234”之类的弱 PIN 进行密码保护，仅用于保护有效负载免受反病毒检测。

存档中的文件通常被命名为“setup.exe”或“cracksetup.exe”，但 Avast 已经看到在此活动中使用了八种不同的可执行文件。

一种危险的信息窃取恶意软件
恶意软件受害者被诱骗安装企图窃取存储在网络浏览器中的信息，例如帐户密码、保存的信用卡和加密货币钱包凭证。

此外，它会监控剪贴板中复制的钱包地址，并将其替换为受恶意软件运营商控制的地址以转移支付。此剪贴板劫持功能适用于各种加密货币地址，包括比特币、以太坊、Cardano、Terra、Nano、Ronin 和比特币现金地址。

脚本监控剪贴板 (Avast)
该恶意软件还使用代理通过中间人攻击来窃取加密货币市场帐户凭据，这种攻击对于受害者来说很难检测或意识到。

“攻击者能够设置 IP 地址来下载恶意代理自动配置脚本 (PAC)，” Avast 在报告中解释道。

“通过在系统中设置这个 IP 地址，每次受害者访问任何列出的域时，流量都会被重定向到攻击者控制下的代理服务器。”

此代理机制是通过“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”中的新注册表项添加的。

受害者可以通过在 Windows 设置上导航到网络和互联网并将“使用代理服务器”选项切换为关闭来禁用它。

该活动已经很普遍，并且感染率很高，因此请避免从任何地方下载破解软件，即使下载站点在 Google 搜索中的排名很高。