段時間,一輪新的 BitRAT 惡意軟件活動正在加速傳播。手段是利用非官方的微軟許可證激活器,來激活盜版 Windows 操作系統。Bleeping Computer 指出,BitRAT 是一款功能強大的遠程訪問木馬。在網絡犯罪論壇和暗網市場上,它正以 20 美元的買斷價,向網絡犯罪分子們兜售。
叫賣帖(圖 via Bleeping Computer)
在買來惡意軟件后,每位攻擊者都會在 BitRAT 基礎上進行打包分發,包括但不限于網絡釣魚、水坑、木馬等。
AhnLab 安全研究人員最近發現,威脅參與者正在將 BitRAT 偽裝成 Windows10 專業版的激活工具,并在網盤上分享傳播。
據悉,Webhards 是一項在韓國相當流行的在線存儲服務,其通過社交媒體平臺 / Discord 發布的直接下載鏈接,而吸引了大量的訪問者。
但是對于粗心的網絡用戶來說,還是很容易被各類威脅參與者所利用的。
偽裝成激活工具的惡意軟件下載器
按照正規流程,用戶需要通過合法渠道向微軟購買許可證以激活 Windows 10 操作系統。不過也有一些迂回方法,比如利用 Windows 7 → Windows 10 的免費升級政策。
膽子更大的一些盜版用戶,會冒險搜索網絡上散布的非官方激活工具,但其中混入了許多惡意軟件 —— 比如上圖所示的“W10DigitalActiviation.exe”。
其帶有一個簡潔的圖形化用戶界面(GUI),配上對小白“相對友好”的一鍵激活按鍵。然而點擊之后,它并不會在主機系統上激活 Windows 許可證。
代碼分析發現,威脅參與者會利用硬編碼,從命令與控制服務器上下載名為“Software_Reporter_Tool.exe”的惡意軟件(本質上是 BitRAT 惡意軟件)。
惡意代碼分析(實際會下載 BitRAT 惡意軟件)
惡意文件的會被安裝到 %TEMP% 路徑,并添加到 Startup 文件夾中。為了避免被系統自帶的安全軟件給清除,它甚至還會將自身納入 Windows Defender 的排除項。
在榨干了所謂“激活工具”的利用價值后,“W10DigitalActiviation.exe”會被卸磨殺驢(從系統中刪除),從而只在受害者計算機上留下被奪舍的 BitRAT 惡意軟件。
對于網絡犯罪分子們來說,BitRAT 的功能可謂是‘便宜又大碗’,能夠從主機上竊取大量有價值的信息、執行 DDoS 攻擊、繞過用戶權限控制(UAC)等。
此外它還能夠當做鍵盤記錄器、監測剪貼板、訪問網絡攝像頭、錄音、竊取 Web 瀏覽器的憑證,甚至利用受害設備的計算資源來挖掘 XMRig 加密貨幣。
以及通過 SOCKS4 和 SOCKS5(UDP)通路,提供對受害者 Windows 系統的訪問、隱藏虛擬網絡計算(hVNC)、還有基于反向代理的遠程控制。
BitRAT 惡意軟件的 C&C 控制面板
從這些功能來看,ASEC分析師認為它與 TinyNuke(及其衍生的 AveMaria / Warzone)代碼有很強的相似性。
綜上所述,即使拋開法律與道德因素,使用盜版軟件的安全風險、仍無異于一場賭博。
用于激活非法軟件副本 / 破壞知識產權保護的系統工具越多,最終感染上惡意軟件的可能性就越大。即使暫時負擔不起 Windows 許可證,也可考慮其它期待選項。
更重要的是,大家還是要養成良好的習慣 —— 不要輕易使用來路不明的許可證激活器、或其它由未知供應商制作并發布的未簽名可執行文件。
喜歡用PE捯飭系統的朋友應該都知道小馬激活工具,對于很多不懂裝系統的人來說,能夠用這GHOST鏡像的WINDOW系統就心滿意足了,因為能用才是最大的的需求!
但對于像我們這樣的不喜歡被人修改的亂七八糟的GHOST鏡像系統的人來說,原版鏡像系統無疑是最佳選擇,畢竟,很多的GHOST系統都會被不法分子進行修改,內置木馬和病毒,即便是很多標榜著純凈版GHOST系統的系統,還是會內置N多垃圾軟件,儼然就是一個垃圾軟件全家桶,與其說是自帶裝機必備軟件,倒不如說是推廣垃圾軟件牟利罷了!
然而,不管是GHOST鏡像系統,還是從微軟的官方渠道下載到的鏡像系統,都存在一個重大的問題,那就是沒有激活碼,沒有激活碼,即便是從正規渠道得到的操作系統,在我看來,也都是盜版系統了!
因此,系統激活這方面的需求就大大增加了,小馬激活工具等諸如此類好用的激活工具就應用而生。
不過,隨著國內對版權的日益重視,加上微軟等方面的強烈抗議,小馬激活工具已經停止了更新,這就意味著,目前網絡上能搜到并且下載到的小馬win7/win8激活工具可能是已經被篡改了的,而小馬win10激活工具十有八九可能是不法分子發的!
今年上半年的時候,就有知名的殺軟公司發布警告,小馬激活工具已經成為惡性木馬病毒的重要流通渠道,每天感染的電腦數萬臺,該病毒不僅會修改用戶瀏覽器的首頁,達到倒賣流量的目的,甚至會主動攻擊電腦上的安全軟件,使得用戶的電腦完全失去保護!
而經殺軟工程師分析、追蹤和確認,制造潛藏于小馬激活工具中的病毒的犯罪團伙不僅僅會利用搜索引擎來進行病毒的推廣和傳播,還會幫助一些大型的互聯網公司進行推廣服務,劫持首頁流量給hao123等知名網站。
前幾天我就遇到了這樣的一款病毒,同事的電腦就是用帶有病毒的小馬激活工具激活的,不管是360極速、還是360安全或者是其他的瀏覽器,統統被該病毒篡改默認首頁為hao123的推廣頁面,不管是修改瀏覽器的默認首頁,還是通過殺軟固定瀏覽器首頁、或者是修改注冊表,都無法干掉這個病毒。
畢竟我并不是專業的木馬病毒分析人員,也就僅能查到綁架電腦首頁的網址是hao.ttmmt.com/?m=sn&v=1028,而訪問該網址跳轉到的頁面正是hao123的首頁,只不過后面帶有tn=98052978_s_hao_pg的后綴。據我從事互聯網工作的一點經驗,應該是用戶的識別碼,分成使用的!
目前,搜索引擎已經成為帶有木馬病毒的小馬激活工具的重要傳播通道,很多用戶都是從搜索引擎搜索“小馬激活”而下載到了帶木馬病毒的小馬激活工具,這一點我們通過百度指數和360指數就可以做一個簡單的分析,順道也可以看一看用戶對該關鍵詞的需求圖譜!
帶有木馬病毒的小馬激活工具目前已經經過了4次的優化升級,從最初的只劫持瀏覽器的快捷方式的小病毒已經成長為現在可以真正做到注入系統explorer.exe進程,并且篡改注冊表達到修改鎖定瀏覽器首頁的目的,甚至可以直接和殺軟對抗,提前阻止殺軟啟動。
所以,即便是用戶修改瀏覽器默認首頁、還是使用殺毒軟件固定瀏覽器首頁、甚至是修改注冊表,都無法還原自己被惡意綁架的瀏覽器首頁,無辜的成為病毒的犧牲者和流量的貢獻者,一次一次的被迫瀏覽被劫持的網站。
作為攜帶有木馬病毒重要流通渠道的搜索引擎,盡管之前很多的媒體都進行了呼吁,建議搜索引擎停止會在屏蔽對“小馬激活”等關鍵詞的展現,但很無奈的是,目前眾多搜索引擎并沒有表態,也沒有人任何明顯的作為,至少我們通過國內主流的百度搜索引擎、360搜索引擎抑或是搜狗搜索引擎,依舊能夠搜索到該關鍵詞的正常展現!
這里,發布此文的目的也是想讓更多的使用小馬激活工具的朋友提高警惕,并沒有其他的目的,畢竟我本人也曾是該病毒的侵害者。
另外,我也在考慮,導航類的網站儼然已經是窮途末路了、夕陽西下了,被歷史的車輪重重的碾壓在了塵土中,何必再去依靠木馬病毒推廣、做垂死掙扎呢,不如真的就隨風而去吧,或許人們會對你們留下些許美好的回憶,如此綁架用戶的行為也只能讓用戶對你們敬而遠之!
原創和版權聲明:本文由文棟說自媒體網站原創,由LWD3699微信公眾平臺自主分發各大媒體平臺,享有獨立版權,謝絕一切轉載不保留本段版權的卑鄙行為,否則后果自負;另,文為草民之見,請勿深究;文中插圖搜集于網絡,僅為良好的文章排版效果和用戶體驗,版權歸原作者所有,不代表本人的任何意見,如果侵犯到了您的權益請及時告知,我會立即刪除!