圖片來源: 

ASEC

想使用盜版Windows的用戶要小心了,安全廠商發現非官方的Windows授權啟動軟體內有遠端木馬程式(RAT)。

安全廠商ASEC近日發現,韓國最大檔案分享平臺Webhard上一個可供公開下載的程式W10 Digital Activation,宣稱是Windows 10 Pro授權啟動器(activator)。但用戶若下載用來驗證Webhard或其他網站下載的(即盜版)Windows軟體的授權,就會被植入BitRAT木馬程式。

圖片來源/ASEC

研究人員指出,整個過程惡意程式都偽裝成Windows 10驗證工具。用戶下載W10 Digital Activation後先會獲得Program.zip的壓縮檔,以1234解鎖後即得到W10DigitalActivation.exe,這是一個7z SFX自解壓縮檔,內有真正的驗證工具W10DigitalActivation.msi,以及W10DigitalActivation_Temp.mis,後者則是惡意程式,兩者會同時安裝及啟動,藉由驗證Windows來掩藏真實意圖。

圖片來源/ASEC

W10DigitalActivation_Temp.mis啟動會和外部C&C伺服器建立連線,再下載木馬程式BitRAT,以Software_Reporter_Tool.exe為檔名儲存到%TEMP%的路徑下。研究人員表示它能力頗高超,能利用powershell指令將Windows啟動程式夾加入Windows Defender的例外路徑清單,並把Software_Reporter_Tool.exe的行程加入Defender的例外行程清單中,目的在規避Defender防毒引擎的掃瞄。

BitRAT從2020年即在駭客論壇中販售,且一直為駭客愛用。它不僅提供攻擊者簡單的控制權,像是執行程式、服務、檔案和遠端指令,還提供進階功能,如竊取資訊、隱藏式虛擬網路運算(hidden virtual network computing,HVNC,即讓攻擊者取得感染裝置的用戶存取權)、遠端桌面、挖礦和執行代理伺服器、以及執行DDoS攻擊、繞過UAC(User Access Control)等。

研究人員表示,降低這波感染機率的有效方法之一,便是不要使用盜版Windows。


熱門新聞

Advertisement