首页 安全快讯 正文

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动

近日,研究人员发现了一项新的分发 BitRAT 软件的恶意活动。BitRAT 是一种强大的远程访问木马,在网络犯罪论坛和暗网市场上以低至 20 美元的价格出售给网络犯罪分子。在最新的 BitRAT 恶意软件分发活动中,攻击者将恶意软件作为 Windows 10 Pro 许可证激活器分发到网络硬盘上。研究人员根据代码片段中的韩语字符及其分发方式推测,新的 Bi

近日,研究人员发现了一项新的分发 BitRAT 软件的恶意活动。BitRAT 是一种强大的远程访问木马,在网络犯罪论坛和暗网市场上以低至 20 美元的价格出售给网络犯罪分子。在最新的 BitRAT 恶意软件分发活动中,攻击者将恶意软件作为 Windows 10 Pro 许可证激活器分发到网络硬盘上。研究人员根据代码片段中的韩语字符及其分发方式推测,新的 BitRAT 活动的攻击者疑似是韩国人。

ASEC分析团队发现的通过网络硬盘分发的BitRAT。由于攻击者从开发阶段就将恶意软件伪装成Windows 10许可证验证工具,因此从webhard下载非法破解工具并安装它,以验证Windows许可证的用户存在将BitRAT安装到其PC中的风险。

下面显示了一篇上传到webhard的帖子,其中包含恶意软件。标题是 [新的][快速安装]Windows许可证验证[一键式]。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第1张

图1. 伪装成下载Windows许可证验证工具的帖子

下载名为“Program.zip”的压缩文件,并使用密码“1234”进行压缩和锁定。它包含一个名为“W10DigitalActivation.exe”的Windows 10许可证验证工具。

图2. 压缩文件中包含的文件

“W10DigitalActivation.exe”是一个7z SFX文件,带有一个名为“W10DigitalActivation.msi”的实际验证工具和名为“W10DigitalActivation_Temp.msi”的恶意软件。当用户双击该文件时,它会同时安装这两个文件。由于恶意软件和验证工具同时运行,用户被欺骗认为该工具运行正常,如下所示。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第2张

图3. 7z SFX文件中的恶意软件

与名称不同,“W10DigitalActivation_Temp.msi”是一个带有exe扩展名的下载器,可以下载其他恶意软件。运行时,它会连接到其内部的C&C服务器,交换加密字符串。之后,它对字符串进行解密,最终获得额外有效载荷的下载网址。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第3张

图4. 下载器恶意软件的C&C网址

下载程序将恶意软件安装到Windows的启动程序文件夹中并自行删除。通常,第一个安装的文件是同类型的下载器,以这种方式运行的下载程序最终会将BitRAT作为“Software_Reporter_Tool.exe”安装到路径%TEMP%中。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第4张

图5. 下载下载器和BitRAT

值得注意的是,此下载器配备了附加功能,无论如何都不是一个简单的程序。如下图所示,它的功能之一是使用powershell命令添加Windows启动程序文件夹——下载器将安装在该文件夹中——作为Windows Defender的排除路径,并将BitRAT进程名称“Software_Reporter_Tool.exe”添加为Windows Defender的排除进程。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第5张

图6. 添加为Windows Defender的排除路径

看看这个恶意软件如何使用被认为是韩国最常用的文件共享平台的webhard,并在其代码中包含韩语字符,如下图所示,攻击者似乎是一个说韩语的人。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第6张

图7.含有韩文字符的代码

最终安装的恶意软件是名为BitRAT的RAT(远程访问木马)恶意软件。自2020年以来,BitRAT一直通过黑客论坛出售,并不断被攻击者使用。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第7张

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第8张

图8. BitRAT介绍图像

因为BitRAT是一种RAT恶意软件,所以它的攻击者可以控制被它感染的系统。BitRAT不仅提供了运行进程任务、服务任务、文件任务、远程命令等基本控制功能,还提供了各种信息窃取功能、HVNC、远程桌面、挖币、代理等额外选项。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第9张

图9.BitRAT的C&C面板

BitRAT提供的功能列表

1. 网络通信方式

使用TLS 1.2进行加密通信;使用Tor进行通信

2. 基本控制

进程管理器;服务管理器;文件管理器;窗口管理器;软件管理器

3. 信息窃取

键盘记录;剪贴板记录;网络摄像头记录;音频记录;应用程序(如网络浏览器)账户凭证盗窃

4. 远程控制

远程桌面;hVNC(隐藏桌面)

5. 代理服务器

SOCKS5代理:使用UPnP的端口转发功能;反向代理:SOCKS4代理

6. 挖币

XMRig CoinMiner

7.其他

Ddos攻击;UAC旁路;Windows Defender停用

BitRAT使用的是被揭露的TinyNuke的代码,就像AveMaria一样。下面是TinyNuke的hVNC(与隐藏桌面有关的例程)和BitRAT的代码对比。

警惕!伪装成Windows 10 激活工具的远程木马正在恶意活动 安全快讯 木马病毒 安全快讯  第10张

图10. TinyNuke和BitRAT的hVNC程序

TinyNuke在反向SOCKS4代理和隐藏桌面功能中验证并使用名为“AVE_MARIA”的签名字符串。AveMaria采用了TinyNuke的Reverse SOCKS4 Proxy功能,并根据这个字符串进行命名。另一方面,BitRAT使用了隐藏桌面功能,并且签名字符串是相同的。

TinyNuke过去曾被朝鲜APT组织Kimsuky小组使用。在众多功能中,只有隐藏桌面功能被使用。

该恶意软件正在通过文件共享网站(如韩国的网络硬盘)传播。因此,在运行从文件共享网站下载的可执行文件时要谨慎行事。建议用户从开发商的官方网站下载产品。

AhnLab的反恶意软件V3使用以下别名检测并阻止上述恶意软件

[文件检测]

–Trojan/Win.MalPacked.C5007707 (2022.03.12.04)

– Dropper/Win.BitRAT.C5012624 (2022.03.16.02)

–Downloader/Win.Generic.C5012582 (2022.03.16.01)

–Downloader/Win.Generic.C5012594 (2022.03.16.01)

– Backdoor/Win.BitRAT.C5012593 (2022.03.16.01)

– Backdoor/Win.BitRAT.C5012748 (2022.03.16.02)

[行为检测]

– Malware/MDP.AutoRun.M1288

[IOC]

Dropper MD5

6befd2bd3005a0390153f643ba248e25

下载器恶意软件MD5

60ee7740c4b7542701180928ef6f0d53

c4740d6a8fb6e17e8d2b21822c45863b

BitRAT MD5

b8c39c252aeb7c264607a053f368f6eb

e03a79366acb221fd5206ab4987406f2

ea1b987a7fdfc2996d5f314a20fd4d99

54ef1804c22f6b24a930552cd51a4ae2

下载器恶意软件的C&C服务器

– hxxp://cothdesigns[.]com:443/1480313

– hxxp://cothdesigns[.]com:443/4411259

– hxxp://jmuquwk.duckdns[.]org:443/1480313

– hxxp://nnmmdlc.duckdns[.]org:443/1480313

额外的有效载荷下载网址--下载器

–hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe

– hxxp://108.61.207[.]100:443/v/V_5248849.exe

额外的有效载荷下载网址 - BitRAT

– hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe

– hxxp://108.61.207[.]100:443/result/A_1146246.exe

BitRAT C&C

– z59okz.duckdns[.]org:5223

– cothdesigns[.]com:80

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/2096.html

相关推荐

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持