この Windows キー検証ツールは、実際には Defender をバイパスする致命的な BitRAT です

セキュリティ調査会社 ASEC は、Windows プロダクト キー検証ツールを装った新たなマルウェア キャンペーンを発見しました。この装いをしたこのツールは、実際には BitRAT (リモート アクセス トロイの木馬) です。

ASEC は、この特定の RAT が韓国のオンライン ファイル共有サービスである Webhards 経由で配布されていることを発見しました。クラックされた海賊版ソフトウェアはデバイスをマルウェアに感染させることがよくありますが、多くの人はそのような警告を真剣に受け止めない傾向があり、正規の Windows ライセンスを購入する余裕がない可能性があります。その結果、マルウェア作成者はこの方法でマルウェアを作成し、配布し続けています。

さて、この BitRAT の仕組みを理解すると、ASEC は、ダウンロードした zip ファイル「W10DigitalActivation.exe」には悪意のあるファイルが含まれているだけでなく、正規の Windows アクティベーション ファイルも付属していると説明しています。 「W10DigitalActivation」msi ファイルは明らかに本物ですが、もう 1 つの「W10DigitalActivation_Temp」ファイルはマルウェアです (下の画像を参照)。

何の疑いも持たないユーザーが exe ファイルを実行すると、実際の検証ツールとマルウェア ファイルの両方が同時に実行され、ユーザーには Windows ライセンス キー検証ツールが期待どおりに動作しているかのような印象を与えます。

W10DigitalActivation_Temp.exe マルウェア ファイルは、コマンド アンド コントロール (C&C) サーバーから他の悪意のあるファイルをダウンロードし、PowerShell 経由で Wi​​ndows Starter フォルダーに配信します。最後に、BitRAT が「Software_Reporter_Tool.exe」ファイルとして %temp% フォルダーと Windows Defender にインストールされ、スタートアップ フォルダーへの除外パスと BitRAT の除外プロセスが追加されます。

以上がこの Windows キー検証ツールは、実際には Defender をバイパスする致命的な BitRAT ですの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。