windows 激活工具KMSPico又被拿来当诱饵

admin 2024年6月8日14:16:41评论4 views字数 797阅读2分39秒阅读模式

eSentire 威胁响应部门 (TRU) 最近的一项调查揭露了一项复杂的攻击活动,该活动利用伪造的 KMSPico 激活器来传播臭名昭著的 Vidar Stealer 恶意软件。这一发现提醒人们从未经验证的来源下载软件存在风险。

windows 激活工具KMSPico又被拿来当诱饵

攻击链始于毫无戒心的用户搜索KMSPico时,该工具被错误地宣传为通用 Windows 激活器。搜索结果顶部通常会指向一个恶意网站,该网站使用 Cloudflare Turnstile 并要求人工输入验证码才能下载 ZIP 文件。这种策略有助于逃避自动网络爬虫的检测。
windows 激活工具KMSPico又被拿来当诱饵
下载的存档包含 Java 依赖项和恶意可执行文件。执行后,它会禁用 Windows Defender 的行为监控并部署包含加密 Vidar Stealer 有效负载的 AutoIt 脚本。然后,该脚本将此有效负载注入其自己的进程,从而有效绕过安全软件。
Vidar Stealer 是一款强大的信息窃取恶意软件,能够窃取密码、信用卡信息和加密货币钱包等敏感数据。它利用 Telegram 作为 Dead Drop Resolver (DDR) 来混淆其命令和控制 (C2) 基础设施,使其更难被发现和查杀。
注:Dead Drop Resolver (DDR):这是一个借用了间谍活动中“死信盒”(Dead Drop)概念的技术术语。在间谍活动中,死信盒是一个预先约定的秘密地点,用于一方留下信息或物品,另一方随后取走,双方不必直接见面。在网络空间中,Dead Drop Resolver指的是一种方法,通过公共但看似无关的服务(在这里是Telegram)来传递敏感信息,如恶意软件的指令,这样可以避免直接链接到攻击者的服务器,增加追踪难度。
此次事件再次提醒我们,恶意行为者带来的威胁持续存在,保持主动安全态势至关重要。通过保持警惕并实施强有力的安全措施,个人和组织可以降低成为此类攻击受害者的风险。

原文始发于微信公众号(独眼情报):windows 激活工具KMSPico又被拿来当诱饵

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月8日14:16:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   windows 激活工具KMSPico又被拿来当诱饵http://cn-sec.com/archives/2831095.html

发表评论

匿名网友 填写信息