近段時間，一輪新的BitRAT 惡意軟件活動正在加速傳播。手段是利用非官方的微軟許可證激活器，來激活盜版Windows 操作系統。Bleeping Computer 指出，BitRAT 是一款功能強大的遠程訪問木馬。在網絡犯罪論壇和暗網市場上，它正以20 美元的買斷價，向網絡犯罪分子們兜售。

叫賣帖（圖via Bleeping Computer）

在買來惡意軟件後，每位攻擊者都會在BitRAT 基礎上進行打包分發，包括但不限於網絡釣魚、水坑、木馬等。

AhnLab 安全研究人員最近發現，威脅參與者正在將BitRAT 偽裝成Windows 10 專業版的激活工具，並在網盤上分享傳播。

據悉，Webhards 是一項在韓國相當流行的在線存儲服務，其通過社交媒體平台/ Discord 發布的直接下載鏈接，而吸引了大量的訪問者。

但是對於粗心的網絡用戶來說，還是很容易被各類威脅參與者所利用的。

偽裝成激活工具的惡意軟件下載器

按照正規流程，用戶需要通過合法渠道向微軟購買許可證以激活Windows 10 操作系統。不過也有一些迂迴方法，比如利用Windows 7 → Windows 10 的免費升級政策。

膽子更大的一些盜版用戶，會冒險搜索網絡上散佈的非官方激活工具，但其中混入了許多惡意軟件—— 比如上圖所示的“W10DigitalActiviation.exe”。

其帶有一個簡潔的圖形化用戶界面（GUI），配上對小白“相對友好”的一鍵激活按鍵。然而點擊之後，它並不會在主機系統上激活Windows 許可證。

代碼分析發現，威脅參與者會利用硬編碼，從命令與控制服務器上下載名為“Software_Reporter_Tool.exe”的惡意軟件（本質上是BitRAT 惡意軟件）。

惡意代碼分析（實際會下載BitRAT 惡意軟件）

惡意文件的會被安裝到%TEMP% 路徑，並添加到Startup 文件夾中。為了避免被系統自帶的安全軟件給清除，它甚至還會將自身納入Windows Defender 的排除項。

在榨乾了所謂“激活工具”的利用價值後，“W10DigitalActiviation.exe”會被卸磨殺驢（從系統中刪除），從而只在受害者計算機上留下被奪舍的BitRAT 惡意軟件。

對於網絡犯罪分子們來說，BitRAT 的功能可謂是’便宜又大碗’，能夠從主機上竊取大量有價值的信息、執行DDoS 攻擊、繞過用戶權限控制（UAC）等。

此外它還能夠當做鍵盤記錄器、監測剪貼板、訪問網絡攝像頭、錄音、竊取Web 瀏覽器的憑證，甚至利用受害設備的計算資源來挖掘XMRig 加密貨幣。

以及通過SOCKS4 和SOCKS5（UDP）通路，提供對受害者Windows 系統的訪問、隱藏虛擬網絡計算（hVNC）、還有基於反向代理的遠程控制。

BitRAT 惡意軟件的C&C 控制面板

從這些功能來看，ASEC分析師認為它與TinyNuke（及其衍生的AveMaria / Warzone）代碼有很強的相似性。

綜上所述，即使拋開法律與道德因素，使用盜版軟件的安全風險、仍無異於一場賭博。

用於激活非法軟件副本/ 破壞知識產權保護的系統工具越多，最終感染上惡意軟件的可能性就越大。即使暫時負擔不起Windows 許可證，也可考慮其它期待選項。

更重要的是，大家還是要養成良好的習慣—— 不要輕易使用來路不明的許可證激活器、或其它由未知供應商製作並發布的未簽名可執行文件。