非官方Windows授权启动软件藏有BitRAT恶意程式
文/林妍溱 | 2022-03-28发表
想使用盗版Windows的用户要小心了,安全厂商发现非官方的Windows授权启动软件内有远
端木马程式(RAT)。
安全厂商ASEC近日发现,韩国最大档案分享平台Webhard上一个可供公开下载的程式W10
Digital Activation,宣称是Windows 10 Pro授权启动器(activator)。但用户若下载
用来验证Webhard或其他网站下载的(即盗版)Windows软件的授权,就会被植入BitRAT木
马程式。
研究人员指出,整个过程恶意程式都伪装成Windows 10验证工具。用户下载W10 Digital
Activation后先会获得Program.zip的压缩档,以1234解锁后即得到
W10DigitalActivation.exe,这是一个7z SFX自解压缩档,内有真正的验证工具
W10DigitalActivation.msi,以及W10DigitalActivation_Temp.mis,后者则是恶意程式
,两者会同时安装及启动,借由验证Windows来掩藏真实意图。
W10DigitalActivation_Temp.mis启动会和外部C&C服务器建立连线,再下载木马程式
BitRAT,以Software_Reporter_Tool.exe为档名储存到%TEMP%的路径下。研究人员表示它
能力颇高超,能利用powershell指令将Windows启动程式夹加入Windows Defender的例外
路径清单,并把Software_Reporter_Tool.exe的行程加入Defender的例外行程清单中,目
的在规避Defender防毒引擎的扫瞄。
BitRAT从2020年即在骇客论坛中贩售,且一直为骇客爱用。它不仅提供攻击者简单的控制
权,像是执行程式、服务、档案和远端指令,还提供进阶功能,如窃取资讯、隐藏式虚拟
网络运算(hidden virtual network computing,HVNC,即让攻击者取得感染装置的用户
存取权)、远端桌面、挖矿和执行代理服务器、以及执行DDoS攻击、绕过UAC(User
Access Control)等。
研究人员表示,降低这波感染机率的有效方法之一,便是不要使用盗版Windows。
https://www.ithome.com.tw/news/150127