一项新的BitRAT恶意软件正在传播中,该病毒利用非官方Microsoft许可证激活器免费激活盗版Windows操作系统版本的用户。
BitRAT是一款功能强大的远程访问木马,在 络犯罪论坛和暗 市场上出售,任何想要它的 络犯罪分子都可以低至20美元(终身访问)。
因此,每个买家都遵循自己的恶意软件分发方法,包括 络钓鱼,水坑或特洛伊木马化软件。
使用恶意软件定位盗版者
在AhnLab的研究人员发现的一项新的BitRAT恶意软件分发活动中,威胁行为者正在将恶意软件作为Windows 10 Pro许可证激活器在Webhards上分发。
Webhards是韩国流行的在线存储服务,从 交媒体平台或Discord上发布的直接下载链接中不断涌入访问者。由于它们在该地区被广泛使用,威胁行为者现在更普遍地使用 络硬盘来分发恶意软件。
新的BitRAT活动背后的攻击者似乎是韩国人,基于代码片段中的一些韩国字符及其分发方式。
要正确使用Windows 10,您需要购买并激活Microsoft的许可证。虽然有一些方法可以免费获得Windows 10,但你仍然需要有效的Windows 7许可证才能获得免费升级。
那些不想处理许可问题或没有升级许可证的人通常会转向盗版Windows 10并使用非官方激活器,其中许多激活器包含恶意软件。
在此次活动中,被提升为Windows 10激活器的恶意文件被命名为”W10DigitalActiviation.exe”,并具有一个简单的GUI,带有一个”激活Windows 10″按钮。
但是,”激活器”将从由威胁参与者操作的硬编码命令和控制服务器下载恶意软件,而不是在主机系统上激活Windows许可证。
提取的有效负载是 BitRAT,以”
Software_Reporter_Tool.exe”的形式安装在 %TEMP% 中,并添加到”启动”文件夹中。下载程序还为 Windows Defender 添加了排除项,以确保 BitRAT 不会遇到检测问题。
恶意软件安装过程完成后,下载程序将从系统中删除自身,仅留下 BitRAT。
多功能大鼠
BitRAT被宣传为一种功能强大,廉价且用途广泛的恶意软件,可以从主机中获取各种有价值的信息,执行DDoS攻击,UAC绕过等。
BitRAT支持通用键盘记录,剪贴板监控, 络摄像头访问,录音,从Web浏览器窃取凭据以及XMRig硬币挖掘功能。
此外,它还为Windows系统提供远程控制,隐藏虚拟 络计算(hVNC)以及通过SOCKS4和SOCKS5(UDP)的反向代理。在这方面,ASEC的分析师发现与TinyNuke及其衍生产品AveMaria(Warzone)有很强的代码相似性。
这些RAT上的隐藏桌面功能非常有价值,以至于一些黑客组织(如Kimsuky)将它们纳入其武器库中,只是为了使用hVNC工具。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!