雖然現代人的版權意識相比過去來說強了很多,但基於投機與貪小便宜的心理很多人在安裝作業系統或是軟體時,總會想找看看有沒有破解版、免費版。近日,安全研究單位發現了一種新的惡意軟體活動,以 Windows 作業系統產品金鑰破解工具的形式偽裝,實際上卻是 BitRAT 或是遠端訪問的木馬程式。
這個 Windows 金鑰破解器其實是遠端木馬程式
安全研究機構 ASEC 近日發現特殊 LUALAR RAT,透過韓國線上檔案共享服務 Webhards 傳播,檔案名稱直接點名是可以快速安裝的 Windows 金鑰驗證器。眾所周知,破解版和盜版軟體中常常會夾帶侵入硬體設備的惡意軟體, 但許多人往往不會認真去看待這些常識性的問題,或者不想要花錢購買 Windows 金鑰,因此惡意軟體製造者還是會繼續透過此類手段生產和傳播惡意軟體。
▲在韓國網站上的 Windows 金鑰驗證器發文
當毫無戒心的用戶下載了名為「Program.zip」的檔案後只需要輸入「1234」的密碼即可解鎖並解壓縮,其中包含有一個名為「W10DigitalActivation.exe」的檔案,外觀上看起來就跟常見的破解器差不多。
▲壓縮檔中所包含的檔案
「W10DigitalActivation.exe」是一個 7z SFX 檔,其中包含一個名為「W10DigitalActivation.msi」的實際驗證工具和名為「W10DigitalActivation_Temp.msi」的惡意軟體。當使用者在該 exe 檔上按兩下時,它將同時安裝把兩個 msi 檔安裝到電腦上,由於惡意軟體和驗證工具同時運行,因此使用者會誤以為該工具正常運行。
▲7z SFX檔中的惡意軟體
此金鑰驗證工具中還配備了其他功能,無論如何都不是表面上看起來那麼簡單的程式。如下圖所示,其功能之一是利用 powershell 命令將 Windows 啟動程式資料夾(安裝下載程式的位置)設定為 Windows Defender 的排除路徑,並將 BitRAT 進程名稱「Software_Reporter_Tool.exe」新增到 Windows Defender 的排除項目中。
最終安裝的惡意軟體名為 BitRAT 的遠端訪問特洛伊木馬病毒,自 2020 年以來,BitRAT一直透過駭客論壇對外出售,並不斷被攻擊者使用。由於 BitRAT 是用在遠端訪問的木馬,因此攻擊者可以控制受感染的系統。BitRAT 不僅提供運行進程任務、服務任務、檔案任務和遠端命令等基本控制功能,還提供各種資訊竊取功能、HVNC(隱藏桌面)、遠端桌面、挖礦和 代理伺服器等額外選項。
▲BitRAT 的 C&C 控制介面
所以,希望大家提高警覺,謹慎面對網路上各種免費、破解版等盜版軟體,不要被貪小便宜的心態左右,以免因小失大造成自己在財物上與個資方面的損害。