非官方Windows授權啟動軟體藏有BitRAT惡意程式
文/林妍溱 | 2022-03-28發表
想使用盜版Windows的用戶要小心了,安全廠商發現非官方的Windows授權啟動軟體內有遠
端木馬程式(RAT)。
安全廠商ASEC近日發現,韓國最大檔案分享平臺Webhard上一個可供公開下載的程式W10
Digital Activation,宣稱是Windows 10 Pro授權啟動器(activator)。但用戶若下載
用來驗證Webhard或其他網站下載的(即盜版)Windows軟體的授權,就會被植入BitRAT木
馬程式。
研究人員指出,整個過程惡意程式都偽裝成Windows 10驗證工具。用戶下載W10 Digital
Activation後先會獲得Program.zip的壓縮檔,以1234解鎖後即得到
W10DigitalActivation.exe,這是一個7z SFX自解壓縮檔,內有真正的驗證工具
W10DigitalActivation.msi,以及W10DigitalActivation_Temp.mis,後者則是惡意程式
,兩者會同時安裝及啟動,藉由驗證Windows來掩藏真實意圖。
W10DigitalActivation_Temp.mis啟動會和外部C&C伺服器建立連線,再下載木馬程式
BitRAT,以Software_Reporter_Tool.exe為檔名儲存到%TEMP%的路徑下。研究人員表示它
能力頗高超,能利用powershell指令將Windows啟動程式夾加入Windows Defender的例外
路徑清單,並把Software_Reporter_Tool.exe的行程加入Defender的例外行程清單中,目
的在規避Defender防毒引擎的掃瞄。
BitRAT從2020年即在駭客論壇中販售,且一直為駭客愛用。它不僅提供攻擊者簡單的控制
權,像是執行程式、服務、檔案和遠端指令,還提供進階功能,如竊取資訊、隱藏式虛擬
網路運算(hidden virtual network computing,HVNC,即讓攻擊者取得感染裝置的用戶
存取權)、遠端桌面、挖礦和執行代理伺服器、以及執行DDoS攻擊、繞過UAC(User
Access Control)等。
研究人員表示,降低這波感染機率的有效方法之一,便是不要使用盜版Windows。
https://www.ithome.com.tw/news/150127