這個 Windows 金鑰驗證工具實際上是一個繞過 Defender 的致命 BitRAT

安全研究公司 ASEC 發現了一個新的惡意軟體活動，它以 Windows 產品金鑰驗證工具的形式偽裝自己。在這種偽裝下，該工具實際上是 BitRAT 或遠端存取木馬。

ASEC 發現這種特殊的 RAT 正在透過 Webhards 分發，Webhards 是韓國的線上文件共享服務。雖然破解和盜版軟體通常會用惡意軟體感染設備，但許多人往往不會認真對待此類警告，或者他們可能買不起正版 Windows 授權。因此，惡意軟體製造者繼續透過這種方式製作和分發惡意軟體。

現在，了解這個 BitRAT 的工作原理，ASEC 解釋說，下載的 zip 檔案「W10DigitalActivation.exe」包含惡意文件，但也帶有正版 Windows 啟動檔。 「W10DigitalActivation」msi 檔案顯然是真實的，而另一個「W10DigitalActivation_Temp」檔案是惡意軟體（見下圖）。

當毫無戒心的使用者執行 exe 檔案時，實際驗證工具和惡意軟體檔案都會同時執行，從而給使用者留下 Windows 許可證金鑰驗證工具按預期工作的印象。

然後，W10DigitalActivation_Temp.exe 惡意軟體文件繼續從命令與控制(C&C) 伺服器下載其他惡意文件，並透過PowerShell 將它們傳遞到Windows 啟動程式資料夾中。最後，BitRAT 作為「 Software_Reporter_Tool.exe 」檔案安裝在 %temp% 資料夾和 Windows Defender 中，新增了 Startup 資料夾的排除路徑和 BitRAT 的排除過程。

以上是這個 Windows 金鑰驗證工具實際上是一個繞過 Defender 的致命 BitRAT的詳細內容。更多資訊請關注PHP中文網其他相關文章！