当心木马带回家！微软激活工具下载暗藏玄机！

安全公司ESENTIRE威胁响应部门(TRU)6月6日发文称，其于2024年5月检测到一起通过伪造KMSPico激活工具传播Vidar Stealer的攻击。攻击者利用Java依赖项和AutoIt脚本禁用Windows Defender，通过shellcode解密并注入Vidar有效载荷。用户在搜索KMSPico时被引导至恶意网站kmspico[.]ws，该网站隐藏在Cloudflare后，要求用户输入验证码下载恶意ZIP包。分析发现，ZIP包中的Setuper_KMS-ACTIV.exe可执行文件启动后，会利用javaw.exe禁用Windows Defender的行为监控，并执行两个恶意AutoIt脚本，这些脚本包含加密的Vidar有效负载。该有效负载使用RC4算法解密，并注入到运行中的AutoIt进程中。Vidar Stealer使用Telegram的Dead Drop Resolver（DDR）技术存储C2服务器地址，通过混淆和嵌入合法服务来隐藏其C2基础设施。此次事件提醒用户提高对恶意软件的防范意识，尤其是避免从不安全的来源下载和使用软件。

网络安全公司eSentire报告了这一新的网络攻击活动，通过伪装成在独联体国家非常流行的Windows激活工具（例如KMSPico） 的虚假网站分发Vidar信息窃取程序。

KMSPico和其他KMS产品是Windows和其他Microsoft产品的非法激活工具，可以绕过许可限制。用户经常在互联网上搜索它们，以便免费激活其软件而无需购买许可证。然而，攻击者经常使用此类工具来传播恶意软件。

在eSentire专家审查的事件中，一名用户访问了“kmspico[.]ws”网站，并差点从该网站下载了感染病毒的激活器。在对该网站及其内容进行彻底分析后，专家得出以下结论：

eSentire指出，‘kmspico[.]ws’站点受Cloudflare Turnstile的CAPTCHA系统保护，需要输入代码才能下载最终的ZIP包。这些步骤对于合法的下载网站来说是非常不寻常的，目的是隐藏页面和自动网络爬虫产生的恶意文件。

经专家分析，下载的ZIP存档包含Java依赖项和可执行文件“Setuper_KMS-ACTIV.exe”。运行时，该文件禁用Windows Defender中的行为监控并运行AutoIt脚本。AutoIt脚本反过来解密并启动了Vidar Stealer恶意软件。

Vidar本身就是一个相当知名的数据窃取工具。该恶意软件能够收集登录名、口令、浏览器历史记录、cookie、自动填充数据以及银行卡数据和加密货币钱包等财务信息。收集到的数据被发送到命令和控制服务器，攻击者可以在其中访问它。自2018年以来，它一直在野外被发现，很可能是Arkei木马的后代或直接进化，其目的几乎相同。尽管没有任何官方声明，但很多因素都表明Vidar源自俄罗斯。这种恶意软件在暗网上出售，采用“恶意软件即服务”模式，来自官方开发者网站。价格从 130美元到750美元不等，具体取决于“许可”期限。推文宣传的主要场所是黑客论坛和Telegram群组。

在审查的活动中，Vidar Stealer使用Telegram存储C2服务器的IP地址，并将其隐藏在合法服务中。这种方法允许攻击者在不暴露其基础设施的情况下控制受感染的系统。

类似的社会工程攻击通常使用模仿合法软件的虚假网站，例如Advanced IP Scanner。根据Trustwave SpiderLabs最近的一份报告 ，正是在它的帮助下，攻击者最近一直在分发Cobalt Strike。

研究人员得出结论，任何软件，无论是否有官方许可的程序，都应该仅从经过验证且值得信赖的来源下载。大多数提供各种软件的可疑网站最终都会成为恶意软件的滋生地，并被小心地隐藏在自动网络爬行系统之外。

参考资源

1、https://www.esentire.com/blog/autoit-delivering-vidar-stealer-via-drive-by-downloads

2、https://www.securitylab.ru/news/549128.php

3、https://gridinsoft.com/spyware/vidar

原文始发于微信公众号（网空闲话plus）：当心木马带回家！微软激活工具下载暗藏玄机！