보안 연구 회사인 ASEC는 Windows 제품 키 확인 도구로 위장한 새로운 악성 코드 캠페인을 발견했습니다. 이 모습에서 이 도구는 실제로 BitRAT 또는 원격 액세스 트로이 목마입니다.
ASEC는 이 특정 RAT가 한국의 온라인 파일 공유 서비스인 Webhards를 통해 배포되고 있음을 발견했습니다. 크랙되거나 불법 복제된 소프트웨어는 장치를 맬웨어로 감염시키는 경우가 많지만, 많은 사람들은 이러한 경고를 심각하게 받아들이지 않거나 정품 Windows 라이선스를 구입할 여유가 없을 수도 있습니다. 결과적으로 맬웨어 제작자는 계속해서 이러한 방식으로 맬웨어를 만들고 배포합니다.
이제 이 BitRAT의 작동 방식을 알게 된 ASEC는 다운로드한 zip 파일 "W10DigitalActivation.exe"에 악성 파일이 포함되어 있지만 정품 Windows 활성화 파일도 함께 제공된다고 설명합니다. "W10DigitalActivation" msi 파일은 실제 파일인 것으로 보이지만 다른 "W10DigitalActivation_Temp" 파일은 악성 코드입니다(아래 이미지 참조).
의심하지 않는 사용자가 exe 파일을 실행하면 실제 확인 도구와 악성 코드 파일이 동시에 실행되어 사용자에게 Windows 라이센스 키 확인 도구가 예상대로 작동하고 있다는 인상을 줍니다.
W10DigitalActivation_Temp.exe 악성 코드 파일은 명령 및 제어(C&C) 서버에서 다른 악성 파일을 다운로드하고 PowerShell을 통해 Windows Starter 폴더로 전달합니다. 마지막으로 BitRAT는 %temp% 폴더와 Windows Defender에 "Software_Reporter_Tool.exe" 파일로 설치되어 시작 폴더에 제외 경로와 BitRAT에 대한 제외 프로세스가 추가됩니다.
위 내용은 이 Windows 키 확인 도구는 실제로 Defender를 우회하는 치명적인 BitRAT입니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!