據報道，網絡安全研究人員發現了多個惡意軟件傳播活動，目標針對下載盜版軟件的互聯網用戶。

該活動使用 SEO 投毒和惡意廣告推高這些“帶毒”的共享軟件網站在 Google 搜索結果中的排名，據發現此事件的Zscaler 稱，這些盜版軟件包括了3DMark、Adobe Acrobat Pro等時下熱門應用。多數情況下，這些軟件安裝程序的惡意可執行文件位于文件托管服務上，因此登陸頁面將受害者重定向到其他服務以下載這些文件。

含惡意盜版軟件的高排名搜索結果

網站重定向流程圖

這些傳播惡意文件的重定向站點名稱不那么花哨，并且位于“xyz”和“cfd”頂級域上。下載的文件包含一個 1.3MB、有密碼保護的 ZIP 文件，以此來逃避 AV 掃描，此外還附帶一個包含解密密碼的文本文件。由于采用字節填充技術，ZIP解壓后的文件大小有600M，這是許多惡意軟件遵循的常見反分析做法，其中包含的可執行文件是一個惡意軟件加載程序，它會生成一個編碼的 PowerShell 命令，該命令會在 10 秒超時后啟動 Windows 命令提示符 (cmd.exe)，以逃避沙盒分析。

cmd.exe 進程會下載一個 JPG 文件，該文件實際上是一個 DLL 文件，其內容反向排列。加載程序以正確的順序重新排列內容，派生出最終的 DLL，即 RedLine Stealer 有效負載，并將其加載到當前線程中。

獲取惡意圖像文

RedLine Stealer是一種強大的信息竊取惡意軟件，它可以竊取存儲在網絡瀏覽器中的密碼、信用卡數據、書簽、cookie、加密貨幣文件和錢包、VPN 憑證、計算機詳細信息等。

今年6月，FreeBuf也曾報道過類似事件，信息竊取惡意軟件隱藏在知名清理程序CCleaner中進行傳播。

為了避免上述情況發生，用戶應避免下載盜版軟件、產品激活程序、破解程序、序列密鑰生成器以及任何承諾無需付費即可使用付費軟件的內容。即使包含這些虛假或惡意內容的網站在搜索結果中的排名很高。