网络安全公司eSentire报告了这一新的网络攻击活动,通过伪装成在独联体国家非常流行的Windows激活工具(例如KMSPico) 的虚假网站分发Vidar信息窃取程序。
KMSPico和其他KMS产品是Windows和其他Microsoft产品的非法激活工具,可以绕过许可限制。用户经常在互联网上搜索它们,以便免费激活其软件而无需购买许可证。然而,攻击者经常使用此类工具来传播恶意软件。
在eSentire专家审查的事件中,一名用户访问了“kmspico[.]ws”网站,并差点从该网站下载了感染病毒的激活器。在对该网站及其内容进行彻底分析后,专家得出以下结论:
eSentire指出,‘kmspico[.]ws’站点受Cloudflare Turnstile的CAPTCHA系统保护,需要输入代码才能下载最终的ZIP包。这些步骤对于合法的下载网站来说是非常不寻常的,目的是隐藏页面和自动网络爬虫产生的恶意文件。
经专家分析,下载的ZIP存档包含Java依赖项和可执行文件“Setuper_KMS-ACTIV.exe”。运行时,该文件禁用Windows Defender中的行为监控并运行AutoIt脚本。AutoIt脚本反过来解密并启动了Vidar Stealer恶意软件。
Vidar本身就是一个相当知名的数据窃取工具。该恶意软件能够收集登录名、口令、浏览器历史记录、cookie、自动填充数据以及银行卡数据和加密货币钱包等财务信息。收集到的数据被发送到命令和控制服务器,攻击者可以在其中访问它。自2018年以来,它一直在野外被发现,很可能是Arkei木马的后代或直接进化,其目的几乎相同。尽管没有任何官方声明,但很多因素都表明Vidar源自俄罗斯。这种恶意软件在暗网上出售,采用“恶意软件即服务”模式,来自官方开发者网站。价格从 130美元到750美元不等,具体取决于“许可”期限。推文宣传的主要场所是黑客论坛和Telegram群组。
在审查的活动中,Vidar Stealer使用Telegram存储C2服务器的IP地址,并将其隐藏在合法服务中。这种方法允许攻击者在不暴露其基础设施的情况下控制受感染的系统。
类似的社会工程攻击通常使用模仿合法软件的虚假网站,例如Advanced IP Scanner。根据Trustwave SpiderLabs最近的一份报告 ,正是在它的帮助下,攻击者最近一直在分发Cobalt Strike。
研究人员得出结论,任何软件,无论是否有官方许可的程序,都应该仅从经过验证且值得信赖的来源下载。大多数提供各种软件的可疑网站最终都会成为恶意软件的滋生地,并被小心地隐藏在自动网络爬行系统之外。
原文始发于微信公众号(网空闲话plus):当心木马带回家!微软激活工具下载暗藏玄机!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论