Dieses Windows-Schlüsselüberprüfungstool ist eigentlich ein tödlicher BitRAT-Bypass-Verteidiger

Das Sicherheitsforschungsunternehmen ASEC hat eine neue Malware-Kampagne entdeckt, die sich als Tool zur Überprüfung von Windows-Produktschlüsseln tarnt. In dieser Gestalt handelt es sich bei dem Tool tatsächlich um einen BitRAT- oder Remote-Access-Trojaner.

ASEC hat herausgefunden, dass dieses spezielle RAT über Webhards, einen südkoreanischen Online-Filesharing-Dienst, verbreitet wird. Obwohl geknackte und raubkopierte Software häufig Geräte mit Malware infiziert, neigen viele Menschen dazu, solche Warnungen nicht ernst zu nehmen, oder sie sind möglicherweise nicht in der Lage, sich eine echte Windows-Lizenz zu leisten. Daher erstellen und verbreiten Malware-Ersteller weiterhin Malware auf diese Weise.

Da ASEC nun weiß, wie dieses BitRAT funktioniert, erklärt es, dass die heruntergeladene ZIP-Datei „W10DigitalActivation.exe“ schädliche Dateien, aber auch echte Windows-Aktivierungsdateien enthält. Die MSI-Datei „W10DigitalActivation“ ist offenbar echt, während es sich bei der anderen Datei „W10DigitalActivation_Temp“ um Malware handelt (siehe Abbildung unten).

Wenn ein ahnungsloser Benutzer die Exe-Datei ausführt, werden sowohl das eigentliche Verifizierungstool als auch die Malware-Datei gleichzeitig ausgeführt, was dem Benutzer den Eindruck vermittelt, dass das Windows-Lizenzschlüssel-Verifizierungstool wie erwartet funktioniert.

Die Malware-Datei W10DigitalActivation_Temp.exe lädt dann weitere schädliche Dateien vom Command and Control (C&C)-Server herunter und übermittelt sie über PowerShell an den Windows Starter-Ordner. Schließlich wird BitRAT als Datei „Software_Reporter_Tool.exe“ im Ordner %temp% und im Windows Defender installiert, wodurch ein Ausschlusspfad zum Startordner und ein Ausschlussprozess für BitRAT hinzugefügt werden.

Das obige ist der detaillierte Inhalt vonDieses Windows-Schlüsselüberprüfungstool ist eigentlich ein tödlicher BitRAT-Bypass-Verteidiger. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!