近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在 *** 犯罪论坛和暗网市场上,它正以 20 美元的买断价,向 *** 犯罪分子们兜售。
叫卖帖(图 via Bleeping Computer)
在买来恶意软件后,每位攻击者都会在 BitRAT 基础上进行打包分发,包括但不限于 *** 钓鱼、水坑、木马等。
AhnLab 安全研究人员最近发现,威胁参与者正在将 BitRAT 伪装成 Windows 10 专业版的激活工具,并在网盘上分享传播。
据悉,Webhards 是一项在韩国相当流行的在线存储服务,其通过社交媒体平台 / Discord 发布的直接下载链接,而吸引了大量的访问者。
但是对于粗心的 *** 用户来说,还是很容易被各类威胁参与者所利用的。
伪装成激活工具的恶意软件下载器
按照正规流程,用户需要通过合法渠道向微软购买许可证以激活 Windows 10 操作系统。不过也有一些迂回 *** ,比如利用 Windows 7 → Windows 10 的免费升级政策。
胆子更大的一些盗版用户,会冒险搜索 *** 上散布的非官方激活工具,但其中混入了许多恶意软件 —— 比如上图所示的“W10DigitalActiviation.exe”。
其带有一个简洁的图形化用户界面(GUI),配上对小白“相对友好”的一键激活按键。然而点击之后,它并不会在主机系统上激活 Windows 许可证。
代码分析发现,威胁参与者会利用硬编码,从命令与控制服务器上下载名为“Software_Reporter_Tool.exe”的恶意软件(本质上是 BitRAT 恶意软件)。
恶意代码分析(实际会下载 BitRAT 恶意软件)
恶意文件的会被安装到 %TEMP% 路径,并添加到 Startup 文件夹中。为了避免被系统自带的安全软件给清除,它甚至还会将自身纳入 Windows Defender 的排除项。
在榨干了所谓“激活工具”的利用价值后,“W10DigitalActiviation.exe”会被卸磨杀驴(从系统中删除),从而只在受害者计算机上留下被夺舍的 BitRAT 恶意软件。
对于 *** 犯罪分子们来说,BitRAT 的功能可谓是‘便宜又大碗’,能够从主机上窃取大量有价值的信息、执行 DDoS 攻击、绕过用户权限控制(UAC)等。
此外它还能够当做键盘记录器、监测剪贴板、访问 *** 摄像头、录音、窃取 Web 浏览器的凭证,甚至利用受害设备的计算资源来挖掘 XMRig 加密货币。
以及通过 SOCKS4 和 SOCKS5(UDP)通路,提供对受害者 Windows 系统的访问、隐藏虚拟 *** 计算(hVNC)、还有基于反向 *** 的远程控制。
BitRAT 恶意软件的 C&C 控制面板
从这些功能来看,ASEC 分析师认为它与 TinyNuke(及其衍生的 AveMaria / Warzone)代码有很强的相似性。
综上所述,即使抛开法律与道德因素,使用盗版软件的安全风险、仍无异于一场赌博。
用于激活非法软件副本 / 破坏知识产权保护的系统工具越多,最终感染上恶意软件的可能性就越大。即使暂时负担不起 Windows 许可证,也可考虑其它期待选项。
更重要的是,大家还是要养成良好的习惯 —— 不要轻易使用来路不明的许可证激活器、或其它由未知供应商 *** 并发布的未签名可执行文件。
转自 cnBeta ,原文链接:https://www.cnbet *** /articles/tech/1249813.htm
封面来源于 *** ,如有侵权请联系删除
现在,不少新报告指出了跟俄罗斯对乌克兰采取的军事行动直接或间接有关的黑客行动。许多专家预测,俄罗斯将在乌克兰发动重大网络攻击,如关闭该国的电网。虽然大规模的行动还没有实现,但关于小规模攻击的报告已经开始出现。 当地时间周一,Google表示,它发现了针对乌克兰官员和波兰军队的广泛的网...
微软今天正式宣布,它已经禁用了MSIX应用安装程序协议以防止恶意攻击。该协议允许用户直接从网络服务器上安装各种应用程序,而不需要先将其下载到本地存储。当时的想法是,这种方法将为用户节省空间,因为不需要下载整个MSIX包。 然而,这种Windows应用程序安装包后来被发现用来分发恶意的PDF文件,如...
Google发布了一份新的勒索软件报告,以色列是在此期间最大的样本提交者。这家科技巨头委托网络安全公司VirusTotal进行分析,这需要审查来自140个国家的8000万个勒索软件样本。根据该报告,以色列、韩国、越南、新加坡、印度、哈萨克斯坦、菲律宾、伊朗和英国等国家是根据VirusTotal审查的...
Hackernews 编译,转载请注明出处: 我们发现一个以前未知的rootkit,它瞄准了惠普企业的Integrated Lights Out(iLO)服务器管理技术,并进行攻击,篡改固件模块并彻底清除受感染系统中的数据。 伊朗网络安全公司Amnpardaz本周记录了这一发现,这是iLO固件中...
加州大学圣迭戈分校的一支计算机科学家团队,刚刚携手 Brave Software 开发了一款新工具,旨在加强用户在网上冲浪时的隐私数据保护体验。这款名为 SugarCoat 的工具,将目光瞄向了可能损害用户隐私的脚本内容 —— 比如追踪用户的 Web 浏览历史。另一方面,对于内嵌相关脚本的网站来说,...
Nord Locker 安全分析师发现,在 2018-2020 年间黑客利用一个木马化恶意程序,感染了超过 300 多万台电脑,并从中攫取了 1.2T 以上的敏感信息。这款尚未命名的恶意软件从超过 325 万台 Windows PC 中收集信息,收集的数据包括 20 亿个 cookies 和 110...