这个 Windows 金钥破解器其实是远端木马程式
虽然现代人的版权意识相比过去来说强了很多,但基於投机与贪小便宜的心理很多人在安装作业系统或是软体时,总会想找看看有没有破解版、免费版。近日,安全研究单位发现了一种新的恶意软体活动,以 Windows 作业系统产品金钥破解工具的形式伪装,实际上却是 BitRAT 或是远端访问的木马程式。
这个 Windows 金钥破解器其实是远端木马程式
安全研究机构 ASEC 近日发现特殊 LUALAR RAT,透过韩国线上档案共享服务 Webhards 传播,档案名称直接点名是可以快速安装的 Windows 金钥验证器。众所周知,破解版和盗版软体中常常会夹带侵入硬体设备的恶意软体, 但许多人往往不会认真去看待这些常识性的问题,或者不想要花钱购买 Windows 金钥,因此恶意软体制造者还是会继续透过此类手段生产和传播恶意软体。
▲在韩国网站上的 Windows 金钥验证器发文
当毫无戒心的用户下载了名为「Program.zip」的档案後只需要输入「1234」的密码即可解锁并解压缩,其中包含有一个名为「W10DigitalActivation.exe」的档案,外观上看起来就跟常见的破解器差不多。
▲压缩档中所包含的档案
「W10DigitalActivation.exe」是一个 7z SFX 档,其中包含一个名为「W10DigitalActivation.msi」的实际验证工具和名为「W10DigitalActivation_Temp.msi」的恶意软体。当使用者在该 exe 档上按两下时,它将同时安装把两个 msi 档安装到电脑上,由於恶意软体和验证工具同时运行,因此使用者会误以为该工具正常运行。
▲7z SFX档中的恶意软体
此金钥验证工具中还配备了其他功能,无论如何都不是表面上看起来那麽简单的程式。如下图所示,其功能之一是利用 powershell 命令将 Windows 启动程式资料夹(安装下载程式的位置)设定为 Windows Defender 的排除路径,并将 BitRAT 进程名称「Software_Reporter_Tool.exe」新增到 Windows Defender 的排除项目中。
最终安装的恶意软体名为 BitRAT 的远端访问特洛伊木马病毒,自 2020 年以来,BitRAT一直透过骇客论坛对外出售,并不断被攻击者使用。由於 BitRAT 是用在远端访问的木马,因此攻击者可以控制受感染的系统。BitRAT 不仅提供运行进程任务、服务任务、档案任务和远端命令等基本控制功能,还提供各种资讯窃取功能、HVNC(隐藏桌面)、远端桌面、挖矿和 代理伺服器等额外选项。
▲BitRAT 的 C&C 控制介面
所以,希望大家提高警觉,谨慎面对网路上各种免费、破解版等盗版软体,不要被贪小便宜的心态左右,以免因小失大造成自己在财物上与个资方面的损害。