安全研究公司 ASEC 发现了一个新的恶意软件活动,它以 Windows 产品密钥验证工具的形式伪装自己。在这种伪装下,该工具实际上是 BitRAT 或远程访问木马。
ASEC 发现这种特殊的 RAT 正在通过 Webhards 分发,Webhards 是韩国的在线文件共享服务。虽然破解和盗版软件通常会用恶意软件感染设备,但许多人往往不会认真对待此类警告,或者他们可能买不起正版 Windows 许可证。因此,恶意软件制造者继续通过这种方式制作和分发恶意软件。
现在,了解这个 BitRAT 的工作原理,ASEC 解释说,下载的 zip 文件“W10DigitalActivation.exe”包含恶意文件,但也带有正版 Windows 激活文件。“W10DigitalActivation”msi 文件显然是真实的,而另一个“W10DigitalActivation_Temp”文件是恶意软件(见下图)。
当毫无戒心的用户运行 exe 文件时,实际验证工具和恶意软件文件都会同时执行,从而给用户留下 Windows 许可证密钥验证工具按预期工作的印象。
然后,W10DigitalActivation_Temp.exe 恶意软件文件继续从命令和控制 (C&C) 服务器下载其他恶意文件,并通过 PowerShell 将它们传递到 Windows 启动程序文件夹中。最后,BitRAT 作为“ Software_Reporter_Tool.exe ”文件安装在 %temp% 文件夹和 Windows Defender 中,添加了 Startup 文件夹的排除路径和 BitRAT 的排除过程。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun140700.html