黑客设山寨Claude网站，诱骗用户下载植入后门程序

不少运用工具类软件的用户近来遭遇了大麻烦，黑客借助搜索引擎竞价投放山寨网站，专门针对普通网民的搜索习惯来传播恶意程序。

黑客利用竞价排名投放虚假站点

精准匹配用户搜索习惯

大多普通用户在寻觅正规软件之际，通常会借助搜索引擎去进行检索，而黑客恰恰就盯上了这一行为，为山寨网站买下了高价竞价位次，许多用户才刚输入软件相关关键词，首页置顶的虚假链接便弹出显现了，很难在第一时间就分辨出其真假与否。

伪装官方页面降低警惕

那些被称作山寨的网站，其排版以及配色，完全是依照正规软件官方站点来进行照搬的，就连客服入口的位置，还有版本更新公告所在之处，都是一模一样的。当用户点击进入之后，根本就很难察觉到自己打开的并非是最初想要去访问的那个正规网站。

山寨站点推送虚假专业版客户端

打出Pro Relay专属标识吸引用户

站点首页较为显眼处标注有“Pro Relay专业版专属下载”，宣称此版本具备普通版所没有的高速通道、无限制使用等功能。众多凭着进阶功能而来的用户瞧见提示，会毫不迟疑地点击下载按钮。

505MB异常压缩包暗藏风险

用户在点击下载之后，所得到的是一个标记为Pro-x64.zip的压缩包，其体积达到了整整505MB，远远超越了正常同类软件几十MB的常规体积范畴。众多用户并未留意到这个反常情况，径直解压并运行了里面的安装程序。

新型后门植入实现全远程控制

隐蔽篡改系统核心配置

程序安装运行完毕后，不会弹出任何异常的提示信息，在后台会采取隐秘的方式去修改系统的注册表项以及启动项，将后门程序植入到系统当中使其常驻运行，整个这一过程窗口不会出现报错情况，普通用户根本完全无法感知到系统已然被非法入侵。

覆盖多类高危操控权限

这种新型的后门拥有完备的远程控制本领，能够直接去执行攻击者所下达的各种各样的命令，并且还可以进行本地任意文件的上传与下载。黑客同样能够新建目录、重命名文件，将全磁盘的目录内容予以枚举，把设备之中的所有文件信息统统摸清楚。

黑客长期驻留窃取各类隐私

持续后台扫描本地数据

被运行的那样一种程序，在运行之后是不会去占用过多的系统资源的，平常的时候它处于静默扫描的状态，会逐个地阅读用户安置在电脑当中的聊天以及记录，办公所使用的文档，还有账号密码缓存文件。整个扫描的过程几乎不会去触发系统的安全提示，其隐蔽极其强大。

批量回传敏感信息牟利

攻击者会定时链接被操控设备，将搜集所得的各种隐私数据成批传输回自身服务器，此类信息随后会被整理贩售，抑或用于施行精准电信诈骗，又或是直接盗刷用户所绑定的各类支付账号。

站点泄露凭证暴露出长时间运营痕迹

意外泄露源站后台凭证

安全公司的研究人员，在履行排查山寨站点职责期间，察觉到黑客犯下了低级失误，将服务器源站访问凭证，泄露于页面的隐藏代码之中。凭借此凭证，能够径直登录山寨站点的后台，进而查看全部历史操作记录。

服务器早在三月就搭建完成

依据后台留存的服务器初始化日志而言，这台承载着山寨站点的服务器，早在今年3月之时，就已然完成了搭建以及调试工作。那些黑客呢，在经过了两个多月的酝酿之后，才开始启动大规模的竞价投放行为，这显然是经过预谋的长期窃取计划呀。

普通用户可落地的防范方法

下载前核对官方域名

先通过企业公示信息找到软件运营方公布的官方域名，手动输入地址栏访问下载，勿直接点击搜索引擎竞价首页位置的广告链接，以此从源头避开山寨站点，在用户下载任何软件之前。

校验安装包体积和数字签名

待下载完毕之后，首先要去核对一下软件安装包的体积，将其与官方所公布的标准数值进行对比，与此同时，通过右键点击属性来查看软件的正规数字签名信息。一旦遇到体积出现异常情况或者没有合法签名的安装包，那就应当直接将其立刻删除，千万不要去运行它。

你平时下载陌生软件前，会特意核对域名和安装包签名吗？