一款伪装成Windows激活程序的窃密病毒正在传播
2024-1-28 17:49:37 Author: mp.weixin.qq.com(查看原文) 阅读量:16 收藏

不少人可能都有过自己装系统并激活的经验——但要注意,这一点很可能被网络犯罪分子利用,将木马病毒伪装成激活程序诱骗用户下载。

近日,火绒威胁情报系统就发现了一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户,内含病毒程序,可以获取用户电脑和程序信息并且盗取资金,对用户构成较大安全威胁。
可以看到,该病毒程序伪装成了Win 7时代最知名的激活器Windows Loader(原作者早已停更)。将该病毒程序与原激活程序对比可发现,病毒程序多了一个activate.exe文件,总体积也要比正常激活程序要大得多。
火绒工程师对样本进行分析发现,该病毒与CryptBot家族有关。CryptBot是一个窃密软件,最早出现在2019年,主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息,获取电脑和已安装程序信息,拍摄上传屏幕截图。
该样本病毒流程图,如下所示:
受害者一旦双击启动"Windows Loader.exe",其会先后执行同目录下的 activate.exe 和释放的 Windows Loader1.exe,其中恶意行为集中在 activate.exe 中。activate.exe 是一个近 700M 的大文件,逻辑代码包含大量混淆、 SMC、动态加载等操作及近乎全局的内存校验反调(反软件断点)。
据了解,该病毒会窃取浏览器相关数据以及受害者电脑的相关信息(用户名、时间、操作系统、键盘语言、CPU、RAM、GPU等),并遍历注册表获取已安装的用户程序:
与以往不同的是,此次分析中发现新增了"clipboard hijacker"模块,通过劫持受害者剪贴板数据,对受害者复制的数据进行正则匹配,筛选出类似于加密货币地址的文本字符串,获取匹配的剪粘板数据后,会用自己内置的钱包地址进行替换,以吸走资金。
非官方渠道获取的软件风险未知,建议用户不要轻信网络上的激活程序,尤其是那些体积较大的软件。并且尽量不要关闭杀毒防护,防止个人数据及财产被窃取。
报告链接:

编辑:左右里

资讯来源:火绒官网

转载请注明出处和本文链接

每日涨知识

高级持久威胁(APT)

一种网络攻击,使用复杂的技术持续对目标政府和公司进行网络间谍活动或其他恶意活动。通常由具有丰富专业知识和大量资源的对手进行-通常与民族国家参与者相关。这些攻击往往来自多个入口点,并且可能使用多个攻击媒介(例如,网络攻击,物理攻击,欺骗攻击)。一旦系统遭到破坏,结束攻击可能非常困难。



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458537518&idx=2&sn=af50346eccbd269960d70565302da318&chksm=b18d7ea486faf7b23f6f19a9dc6448122acdc446bddd33ce4e7695af471974f230d9cab3acad&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh