potplayer还能用吗（一系列恶意活动一直在利用Viber）

　　一系列恶意活动一直在利用Viber、微信、NoxPlayer和战地等热门应用和游戏的虚假安装程序作为诱饵，诱骗用户下载新的后门和未记录的恶意谷歌Chrome扩展，目的是窃取存储在受损系统中的凭据和数据，并保持持久的远程访问。

　　思科塔罗斯将恶意软件的有效载荷归因于一个化名为“的未知参与者”麦格纳，“注意到”这两个家庭一直受到他们的作者不断发展和改进。"

　　据信，这些攻击始于2018年底，在2019年底至2020年初观察到间歇性活动，随后是自2021年4月以来的新高峰，同时主要针对加拿大的用户，其次是美国、澳大利亚、意大利、西班牙和挪威。

　　入侵的一个值得注意的方面是利用恶意软件攻击那些在搜索引擎上寻找流行软件的人，向他们提供下载虚假安装程序的链接，这些安装程序会删除一个名为红线小偷，一个被称为“MagnatExtension”的Chrome扩展，它被编程为记录击键和捕捉屏幕截图，以及一个自动测试基于的后门，用于建立对机器的远程访问。

　　伪装成谷歌的MagnatExtension安全浏览，还打包了对攻击者有用的其他功能，包括窃取表单数据、获取cookies和执行任意JavaScript代码的能力。Talos分析的遥测数据显示，2018年8月检测到了浏览器插件的第一个样本。

　　分机的指挥控制(C2)通信也很突出。虽然C2地址是硬编码的，但它也可以由当前的C2用一个额外的C2域列表来更新。但如果失败了，它又回到了另一种方法，即从推特上搜索像“#aquamamba2019”或“#ololo2019”这样的标签来获取新的C2地址

　　然后通过连接每个单词的第一个字母，从伴随的推文文本中构建域名，这意味着一条内容为“潮湿的湍流区域在潮湿的年份后终止了活跃的圆形引擎”的推文。工业令人毛骨悚然的单位”并包含标签“#aquamamba2019”被翻译成“stataready[。]icu。”

　　一旦活动的命令和控制服务器可用，被抽真空的数据——浏览器历史记录、cookies、表单数据、击键和屏幕截图——就会以加密的JSON字符串的形式在HTTP POST请求的正文中被过滤，加密密钥在解密函数中被硬编码。加密密钥又用服务器的公钥加密。

　　思科Talos研究人员Tiago Pereira表示:“基于密码窃取者的使用和类似于银行木马的Chrome扩展，我们评估攻击者的目标是获取用户凭据，可能用于销售或供他自己进一步利用。

　　“部署RDP后门的动机尚不清楚。最有可能的是出售RDP接入，利用RDP绕过基于IP地址或其他端点安装工具的在线服务安全功能，或者利用RDP在攻击者感兴趣的系统上进行进一步利用。”