近段時(shí)間，一輪新的 BitRAT 惡意軟件活動(dòng)正在加速傳播。手段是利用非官方的微軟許可證激活器，來(lái)激活盜版 Windows 操作系統(tǒng)。Bleeping Computer 指出，BitRAT 是一款功能強(qiáng)大的遠(yuǎn)程訪問(wèn)木馬。在網(wǎng)絡(luò)犯罪論壇和暗網(wǎng)市場(chǎng)上，它正以 20 美元的買斷價(jià)，向網(wǎng)絡(luò)犯罪分子們兜售。

叫賣帖（圖 via Bleeping Computer）

在買來(lái)惡意軟件后，每位攻擊者都會(huì)在 BitRAT 基礎(chǔ)上進(jìn)行打包分發(fā)，包括但不限于網(wǎng)絡(luò)釣魚、水坑、木馬等。

AhnLab 安全研究人員最近發(fā)現(xiàn)，威脅參與者正在將 BitRAT 偽裝成 Windows 10 專業(yè)版的激活工具，并在網(wǎng)盤上分享傳播。

據(jù)悉，Webhards 是一項(xiàng)在韓國(guó)相當(dāng)流行的在線存儲(chǔ)服務(wù)，其通過(guò)社交媒體平臺(tái) / Discord 發(fā)布的直接下載鏈接，而吸引了大量的訪問(wèn)者。

但是對(duì)于粗心的網(wǎng)絡(luò)用戶來(lái)說(shuō)，還是很容易被各類威脅參與者所利用的。

偽裝成激活工具的惡意軟件下載器

按照正規(guī)流程，用戶需要通過(guò)合法渠道向微軟購(gòu)買許可證以激活 Windows 10 操作系統(tǒng)。不過(guò)也有一些迂回方法，比如利用 Windows 7 → Windows 10 的免費(fèi)升級(jí)政策。

膽子更大的一些盜版用戶，會(huì)冒險(xiǎn)搜索網(wǎng)絡(luò)上散布的非官方激活工具，但其中混入了許多惡意軟件 —— 比如上圖所示的“W10DigitalActiviation.exe”。

其帶有一個(gè)簡(jiǎn)潔的圖形化用戶界面（GUI），配上對(duì)小白“相對(duì)友好”的一鍵激活按鍵。然而點(diǎn)擊之后，它并不會(huì)在主機(jī)系統(tǒng)上激活 Windows 許可證。

代碼分析發(fā)現(xiàn)，威脅參與者會(huì)利用硬編碼，從命令與控制服務(wù)器上下載名為“Software_Reporter_Tool.exe”的惡意軟件（本質(zhì)上是 BitRAT 惡意軟件）。

惡意代碼分析（實(shí)際會(huì)下載 BitRAT 惡意軟件）

惡意文件的會(huì)被安裝到 %TEMP% 路徑，并添加到 Startup 文件夾中。為了避免被系統(tǒng)自帶的安全軟件給清除，它甚至還會(huì)將自身納入 Windows Defender 的排除項(xiàng)。

在榨干了所謂“激活工具”的利用價(jià)值后，“W10DigitalActiviation.exe”會(huì)被卸磨殺驢（從系統(tǒng)中刪除），從而只在受害者計(jì)算機(jī)上留下被奪舍的 BitRAT 惡意軟件。

對(duì)于網(wǎng)絡(luò)犯罪分子們來(lái)說(shuō)，BitRAT 的功能可謂是‘便宜又大碗’，能夠從主機(jī)上竊取大量有價(jià)值的信息、執(zhí)行 DDoS 攻擊、繞過(guò)用戶權(quán)限控制（UAC）等。

此外它還能夠當(dāng)做鍵盤記錄器、監(jiān)測(cè)剪貼板、訪問(wèn)網(wǎng)絡(luò)攝像頭、錄音、竊取 Web 瀏覽器的憑證，甚至利用受害設(shè)備的計(jì)算資源來(lái)挖掘 XMRig 加密貨幣。

以及通過(guò) SOCKS4 和 SOCKS5（UDP）通路，提供對(duì)受害者 Windows 系統(tǒng)的訪問(wèn)、隱藏虛擬網(wǎng)絡(luò)計(jì)算（hVNC）、還有基于反向代理的遠(yuǎn)程控制。

BitRAT 惡意軟件的 CC 控制面板

從這些功能來(lái)看，ASEC 分析師認(rèn)為它與 TinyNuke（及其衍生的 AveMaria / Warzone）代碼有很強(qiáng)的相似性。

綜上所述，即使拋開(kāi)法律與道德因素，使用盜版軟件的安全風(fēng)險(xiǎn)、仍無(wú)異于一場(chǎng)賭博。

用于激活非法軟件副本 / 破壞知識(shí)產(chǎn)權(quán)保護(hù)的系統(tǒng)工具越多，最終感染上惡意軟件的可能性就越大。即使暫時(shí)負(fù)擔(dān)不起 Windows 許可證，也可考慮其它期待選項(xiàng)。

更重要的是，大家還是要養(yǎng)成良好的習(xí)慣 —— 不要輕易使用來(lái)路不明的許可證激活器、或其它由未知供應(yīng)商制作并發(fā)布的未簽名可執(zhí)行文件。

（舉報(bào)）