一款偽裝成Windows啟用程式的竊密病毒正在傳播

Editor發表於2024-01-28

不少人可能都有過自己裝系統並啟用的經驗,但要注意,這一點很可能被網路犯罪分子利用——將木馬病毒偽裝成啟用程式誘騙使用者下載。


一款偽裝成Windows啟用程式的竊密病毒正在傳播


近日,火絨威脅情報系統就發現了一款偽裝成Windows非法啟用程式的竊密病毒正在傳播。該病毒以Windows_Loader.zip包形式誘導使用者,內含病毒程式,可以獲取使用者電腦和程式資訊並且盜取資金,對使用者構成較大安全威脅。


一款偽裝成Windows啟用程式的竊密病毒正在傳播


可以看到,該病毒程式偽裝成了Win 7時代最知名的啟用器Windows Loader(原作者早已停更)。將該病毒程式與原啟用程式對比可發現,病毒程式多了一個activate.exe檔案,總體積也要比正常啟用程式要大得多。


火絨工程師對樣本進行分析發現,該病毒與CryptBot家族有關。CryptBot是一個竊密軟體,最早出現在2019年,主要在Windows系統中透過釣魚郵件和破解軟體進行傳播。它能竊取受害者瀏覽器的敏感資訊,獲取電腦和已安裝程式資訊,拍攝上傳螢幕截圖。


該樣本病毒流程圖,如下所示:


一款偽裝成Windows啟用程式的竊密病毒正在傳播


受害者一旦雙擊啟動"Windows Loader.exe",其會先後執行同目錄下的 activate.exe 和釋放的 Windows Loader1.exe,其中惡意行為集中在 activate.exe 中。activate.exe 是一個近 700M 的大檔案,邏輯程式碼包含大量混淆、 SMC、動態載入等操作及近乎全域性的記憶體校驗反調(反軟體斷點)。


據瞭解,該病毒會竊取瀏覽器相關資料以及受害者電腦的相關資訊(使用者名稱、時間、作業系統、鍵盤語言、CPU、RAM、GPU等),並遍歷登錄檔獲取已安裝的使用者程式:


一款偽裝成Windows啟用程式的竊密病毒正在傳播


與以往不同的是,此次分析中發現新增了"clipboard hijacker"模組,透過劫持受害者剪貼簿資料,對受害者複製的資料進行正則匹配,篩選出類似於加密貨幣地址的文字字串,獲取匹配的剪粘板資料後,會用自己內建的錢包地址進行替換,以吸走資金。


非官方渠道獲取的軟體風險未知,建議使用者不要輕信網路上的啟用程式,尤其是那些體積較大的軟體。並且儘量不要關閉防毒防護,防止個人資料及財產被竊取。


報告連結https://www.huorong.cn/info/17061795351117.html



編輯:左右裡

資訊來源:火絨官網

轉載請註明出處和本文連結

相關文章