非官方Windows授權啟動軟體藏有BitRAT惡意程式

想使用盜版Windows的用戶要小心了，安全廠商發現非官方的Windows授權啟動軟體內有遠端木馬程式（RAT）。

安全廠商ASEC近日發現，韓國最大檔案分享平臺Webhard上一個可供公開下載的程式W10 Digital Activation，宣稱是Windows 10 Pro授權啟動器（activator）。但用戶若下載用來驗證Webhard或其他網站下載的（即盜版）Windows軟體的授權，就會被植入BitRAT木馬程式。

圖片來源／ASEC

研究人員指出，整個過程惡意程式都偽裝成Windows 10驗證工具。用戶下載W10 Digital Activation後先會獲得Program.zip的壓縮檔，以1234解鎖後即得到W10DigitalActivation.exe，這是一個7z SFX自解壓縮檔，內有真正的驗證工具W10DigitalActivation.msi，以及W10DigitalActivation_Temp.mis，後者則是惡意程式，兩者會同時安裝及啟動，藉由驗證Windows來掩藏真實意圖。

圖片來源／ASEC

W10DigitalActivation_Temp.mis啟動會和外部C&C伺服器建立連線，再下載木馬程式BitRAT，以Software_Reporter_Tool.exe為檔名儲存到%TEMP%的路徑下。研究人員表示它能力頗高超，能利用powershell指令將Windows啟動程式夾加入Windows Defender的例外路徑清單，並把Software_Reporter_Tool.exe的行程加入Defender的例外行程清單中，目的在規避Defender防毒引擎的掃瞄。

BitRAT從2020年即在駭客論壇中販售，且一直為駭客愛用。它不僅提供攻擊者簡單的控制權，像是執行程式、服務、檔案和遠端指令，還提供進階功能，如竊取資訊、隱藏式虛擬網路運算（hidden virtual network computing，HVNC，即讓攻擊者取得感染裝置的用戶存取權）、遠端桌面、挖礦和執行代理伺服器、以及執行DDoS攻擊、繞過UAC（User Access Control）等。

研究人員表示，降低這波感染機率的有效方法之一，便是不要使用盜版Windows。