想使用盗版Windows的用户要小心了,安全厂商发现非官方的Windows授权启动软件内有远程木马程序(RAT)。
安全厂商ASEC近日发现,韩国最大文件分享平台Webhard上一个可供公开下载的程序W10 Digital Activation,宣称是Windows 10 Pro授权启动器(activator)。但用户若下载用来验证Webhard或其他网站下载的(即盗版)Windows软件的授权,就会被植入BitRAT木马程序。
图片来源/ASEC
研究人员指出,整个过程恶意程序都伪装成Windows 10验证工具。用户下载W10 Digital Activation后先会获得Program.zip的压缩文件,以1234解锁后即得到W10DigitalActivation.exe,这是一个7z SFX自解压缩文件,内有真正的验证工具W10DigitalActivation.msi,以及W10DigitalActivation_Temp.mis,后者则是恶意程序,两者会同时安装及启动,借由验证Windows来掩藏真实意图。
图片来源/ASEC
W10DigitalActivation_Temp.mis启动会和外部C&C服务器创建连接,再下载木马程序BitRAT,以Software_Reporter_Tool.exe为文件名存储到%TEMP%的路径下。研究人员表示它能力颇高超,能利用powershell指令将Windows启动程序夹加入Windows Defender的例外路径清单,并把Software_Reporter_Tool.exe的行程加入Defender的例外行程清单中,目的在规避Defender杀毒引擎的扫描。
BitRAT从2020年即在黑客论坛中销售,且一直为黑客爱用。它不仅提供攻击者简单的控制权,像是执行程序、服务、文件和远程指令,还提供高端功能,如窃取资讯、隐藏式虚拟网络运算(hidden virtual network computing,HVNC,即让攻击者取得感染设备的用户访问权)、远程桌面、挖矿和执行代理服务器、以及执行DDoS攻击、绕过UAC(User Access Control)等。
研究人员表示,降低这波感染几率的有效方法之一,便是不要使用盗版Windows。