恶意软件绕过 Microsoft Defender 和 2FA，通过伪造的 NFT 游戏应用程序窃取 2.4 万美元的加密货币。了解它是如何入侵设备并逃避安全防护的。

SafetyDetectives 的网络安全研究人员发现，默认的 Windows 杀毒软件 Microsoft Defender 被恶意软件欺骗，导致一名毫无戒心的用户的加密货币被盗。这个问题是在分析一个看似无害的 NFT 游戏应用程序时发现的，该应用程序实际上是为了窃取加密货币而设计的。

该应用程序还通过绕过谷歌的双因素身份验证入侵了设备，并窃取了超过 24,000 美元的加密货币。据研究人员称，恶意软件一旦安装，就会在后台悄悄运行，收集敏感信息，甚至可能劫持用户受双因素身份验证（2FA）保护的谷歌账户。它通过安装一个伪装成谷歌 Keep 的恶意 Chrome 扩展程序，绕过 2FA 安全措施来实现这一目的。

在调查过程中，SafetyDetectives 的团队使用 Wireshark 监控网络流量并检测恶意软件的位置，测试了 Microsoft Defender 对恶意软件应用程序的防护能力。

令人惊讶的是，Microsoft Defender 在安装和执行过程中未能阻止病毒，允许恶意软件访问系统操作、下载可疑文件、收集敏感信息，甚至确定用户的位置。

可能是由于恶意软件的来源，如果用户在俄罗斯、乌克兰或白俄罗斯，恶意软件就会被编程为关闭。假冒的 Chrome 浏览器扩展使恶意软件能够访问访问的每个网站、窃取登录数据并监控从浏览器复制的任何内容。病毒收集了远程控制系统所需的一切，而微软卫士却没有发出警报。

比特梵德和 Malwarebytes 的救援

为了评估其他防病毒解决方案的有效性，研究小组还测试了 Malwarebytes 和 Bitdefender。虽然这两种杀毒软件都无法阻止最初的安装，但它们确实在攻击的后期阶段进行了干预。Bitdefender 阻止了恶意软件访问关键信息的尝试，而 Malwarebytes 则完全阻止了安装。

“虽然 Malwarebytes 比 Bitdefender 更快地阻止了漏洞的入侵，但在处理这种特定恶意软件方面，二者都没有本质上的优势，因为二者都能阻止关键漏洞的入侵。”他们在博文中解释说：“Bitdefender 的优势甚至在于误报率较低。”

这可能是因为近年来微软Exchange服务器受到了一系列零日漏洞的攻击，其中一些漏洞可能影响了微软Defender保护系统的能力。或者供应链攻击，如 SolarWinds 黑客攻击，会破坏软件更新和工具，从而可能影响 Microsoft Defender 等安全解决方案的完整性。

尽管如此，调查强调了投资更强大的杀毒软件的重要性，以及在下载和安装应用程序时保持谨慎的重要性，尤其是从未经验证的来源下载和安装。随时了解网络威胁并采取积极措施，可以大大降低恶意攻击的风险。