少人可能都有過自己裝系統并激活的經驗，但要注意，這一點很可能被網絡犯罪分子利用——將木馬病毒偽裝成激活程序誘騙用戶下載。

近日，火絨威脅情報系統就發現了一款偽裝成Windows非法激活程序的竊密病毒正在傳播。該病毒以Windows_Loader.zip包形式誘導用戶，內含病毒程序，可以獲取用戶電腦和程序信息并且盜取資金，對用戶構成較大安全威脅。

可以看到，該病毒程序偽裝成了Win 7時代最知名的激活器Windows Loader（原作者早已停更）。將該病毒程序與原激活程序對比可發現，病毒程序多了一個activate.exe文件，總體積也要比正常激活程序要大得多。

火絨工程師對樣本進行分析發現，該病毒與CryptBot家族有關。CryptBot是一個竊密軟件，最早出現在2019年，主要在Windows系統中通過釣魚郵件和破解軟件進行傳播。它能竊取受害者瀏覽器的敏感信息，獲取電腦和已安裝程序信息，拍攝上傳屏幕截圖。

該樣本病毒流程圖，如下所示：

受害者一旦雙擊啟動"Windows Loader.exe"，其會先后執行同目錄下的 activate.exe 和釋放的 Windows Loader1.exe，其中惡意行為集中在 activate.exe 中。activate.exe 是一個近 700M 的大文件，邏輯代碼包含大量混淆、 SMC、動態加載等操作及近乎全局的內存校驗反調（反軟件斷點）。

據了解，該病毒會竊取瀏覽器相關數據以及受害者電腦的相關信息（用戶名、時間、操作系統、鍵盤語言、CPU、RAM、GPU等），并遍歷注冊表獲取已安裝的用戶程序：

與以往不同的是，此次分析中發現新增了"clipboard hijacker"模塊，通過劫持受害者剪貼板數據，對受害者復制的數據進行正則匹配，篩選出類似于加密貨幣地址的文本字符串，獲取匹配的剪粘板數據后，會用自己內置的錢包地址進行替換，以吸走資金。

非官方渠道獲取的軟件風險未知，建議用戶不要輕信網絡上的激活程序，尤其是那些體積較大的軟件。并且盡量不要關閉殺毒防護，防止個人數據及財產被竊取。

報告鏈接：https://www.huorong.cn/info/17061795351117.html

編輯：左右里

資訊來源：火絨官網

轉載請注明出處和本文鏈接

oid Banshee APT組織利用Windows零日漏洞CVE-2024-38112通過禁用的Internet Explorer執行代碼。一個被追蹤為Void Banshee的APT組織被發現利用Windows零日漏洞CVE-2024-38112(CVSS評分為7.5)，通過禁用的Internet Explorer執行代碼。

該漏洞是Windows MSHTML平臺欺騙漏洞，要成功利用此漏洞攻擊者需要在利用此漏洞之前采取其他操作來準備目標環境。攻擊者可以通過向受害者發送受害者必須執行的惡意文件來觸發該問題。趨勢科技研究人員發現該漏洞在5月份被積極利用并將其報告給Microsoft，后者通過2024年7月的Patch Tuesday安全更新解決了零日漏洞。

觀察到Void Banshee利用CVE-2024-38112漏洞將Atlantida信息竊取程序投放到受害者的機器上。該惡意軟件允許運營商從多個應用程序收集系統信息并竊取敏感數據，例如密碼和cookie。在該組織的攻擊鏈中Void Banshee試圖誘騙受害者打開包含偽裝成書籍PDF的惡意文件的zip檔案，這些檔案通過云共享網站、Discord服務器和在線圖書館以及其他方式傳播。

APT集團專注于北美、歐洲和東南亞，這次零日攻擊是一個典型的例子，說明不受支持的Windows遺物如何成為一個被忽視的攻擊面，威脅行為者仍然可以利用它來感染毫無戒心的用戶勒索軟件后門或作為其他類型惡意軟件的渠道。

趨勢科技表示Void Banshee利用已禁用的Internet Explorer進程使用特制的HTML應用程序，AE文件帶有MHTML協議處理程序和x-usc！命令，此技術類似于對CVE-2021-40444的利用。CVE-2021-40444是另一個在零日攻擊中被利用的MSHTML漏洞。專家警告說這種攻擊方法非常令人擔憂，因為Internet Explorer不再接收更新或安全修復程序。

報告指出：在這次攻擊中，CVE-2024-38112被用作零日漏洞，通過打開和使用系統禁用的IE重定向到托管惡意HTML應用程序/(HTA)的受感染網站。

在lnternet快捷方式文件的URL參數中，我們可以看到Void Banshee專門使用MHTML協議處理程序和x-usc精心制作了這個URL字符串！此邏輯字符串通過iexplore.exe進程在本機Internet Explorer中打開URL目標。

Void Banshee APT CVE-2024-38112攻擊者使用IE重定向到攻擊者控制的域。在該域中HTML文件下載感染鏈的HTA階段，Void Banshee使用這個HTML文件來控制Internet Explorer的窗口視圖大小，隱藏瀏覽器信息并向受害者隱藏下一個感染階段的下載。

默認情況下IE會提示用戶打開或保存HTML應用程序，但APT組通過向文件擴展名添加空格將HTA文件偽裝成PDF，運行HTA文件后將執行一系列腳本，以及LoadToBadXml.NET特洛伊木馬加載程序、Donut shellcode和Atlantida竊取程序。

在這次活動中，我們觀察到即使用戶可能不再能夠訪問IE，威脅行為者仍然可以利用他們機器上揮之不去的Windows遺留物(如IE)來感染用戶和組織勒索軟件，后門或作為代理來執行其他惡意軟件。

趨勢科技總結道：像Void Banshee這樣的APT組織利用IE等殘疾人服務的能力對全球組織構成了重大威脅。由于IE等服務的攻擊面很大并且不再接收補丁，因此對Windows用戶來說是一個嚴重的安全問題。

開網頁很卡，加載緩慢，修改后的結果: