安全研究公司 ASEC 發現了一個新的惡意軟體活動,它以 Windows 產品金鑰驗證工具的形式偽裝自己。在這種偽裝下,該工具實際上是 BitRAT 或遠端存取木馬。
ASEC 發現這種特殊的 RAT 正在透過 Webhards 分發,Webhards 是韓國的線上文件共享服務。雖然破解和盜版軟體通常會用惡意軟體感染設備,但許多人往往不會認真對待此類警告,或者他們可能買不起正版 Windows 授權。因此,惡意軟體製造者繼續透過這種方式製作和分發惡意軟體。
現在,了解這個 BitRAT 的工作原理,ASEC 解釋說,下載的 zip 檔案「W10DigitalActivation.exe」包含惡意文件,但也帶有正版 Windows 啟動檔。 「W10DigitalActivation」msi 檔案顯然是真實的,而另一個「W10DigitalActivation_Temp」檔案是惡意軟體(見下圖)。
當毫無戒心的使用者執行 exe 檔案時,實際驗證工具和惡意軟體檔案都會同時執行,從而給使用者留下 Windows 許可證金鑰驗證工具按預期工作的印象。
然後,W10DigitalActivation_Temp.exe 惡意軟體文件繼續從命令與控制(C&C) 伺服器下載其他惡意文件,並透過PowerShell 將它們傳遞到Windows 啟動程式資料夾中。最後,BitRAT 作為「 Software_Reporter_Tool.exe 」檔案安裝在 %temp% 資料夾和 Windows Defender 中,新增了 Startup 資料夾的排除路徑和 BitRAT 的排除過程。
以上是這個 Windows 金鑰驗證工具實際上是一個繞過 Defender 的致命 BitRAT的詳細內容。更多資訊請關注PHP中文網其他相關文章!
