少人可能都有过自己装系统并激活的经验，但要注意，这一点很可能被网络犯罪分子利用——将木马病毒伪装成激活程序诱骗用户下载。

近日，火绒威胁情报系统就发现了一款伪装成Windows非法激活程序的窃密病毒正在传播。该病毒以Windows_Loader.zip包形式诱导用户，内含病毒程序，可以获取用户电脑和程序信息并且盗取资金，对用户构成较大安全威胁。

可以看到，该病毒程序伪装成了Win 7时代最知名的激活器Windows Loader（原作者早已停更）。将该病毒程序与原激活程序对比可发现，病毒程序多了一个activate.exe文件，总体积也要比正常激活程序要大得多。

火绒工程师对样本进行分析发现，该病毒与CryptBot家族有关。CryptBot是一个窃密软件，最早出现在2019年，主要在Windows系统中通过钓鱼邮件和破解软件进行传播。它能窃取受害者浏览器的敏感信息，获取电脑和已安装程序信息，拍摄上传屏幕截图。

该样本病毒流程图，如下所示：

受害者一旦双击启动"Windows Loader.exe"，其会先后执行同目录下的 activate.exe 和释放的 Windows Loader1.exe，其中恶意行为集中在 activate.exe 中。activate.exe 是一个近 700M 的大文件，逻辑代码包含大量混淆、 SMC、动态加载等操作及近乎全局的内存校验反调（反软件断点）。

据了解，该病毒会窃取浏览器相关数据以及受害者电脑的相关信息（用户名、时间、操作系统、键盘语言、CPU、RAM、GPU等），并遍历注册表获取已安装的用户程序：

与以往不同的是，此次分析中发现新增了"clipboard hijacker"模块，通过劫持受害者剪贴板数据，对受害者复制的数据进行正则匹配，筛选出类似于加密货币地址的文本字符串，获取匹配的剪粘板数据后，会用自己内置的钱包地址进行替换，以吸走资金。

非官方渠道获取的软件风险未知，建议用户不要轻信网络上的激活程序，尤其是那些体积较大的软件。并且尽量不要关闭杀毒防护，防止个人数据及财产被窃取。

报告链接：https://www.huorong.cn/info/17061795351117.html

编辑：左右里

资讯来源：火绒官网

转载请注明出处和本文链接

oid Banshee APT组织利用Windows零日漏洞CVE-2024-38112通过禁用的Internet Explorer执行代码。一个被追踪为Void Banshee的APT组织被发现利用Windows零日漏洞CVE-2024-38112(CVSS评分为7.5)，通过禁用的Internet Explorer执行代码。

该漏洞是Windows MSHTML平台欺骗漏洞，要成功利用此漏洞攻击者需要在利用此漏洞之前采取其他操作来准备目标环境。攻击者可以通过向受害者发送受害者必须执行的恶意文件来触发该问题。趋势科技研究人员发现该漏洞在5月份被积极利用并将其报告给Microsoft，后者通过2024年7月的Patch Tuesday安全更新解决了零日漏洞。

观察到Void Banshee利用CVE-2024-38112漏洞将Atlantida信息窃取程序投放到受害者的机器上。该恶意软件允许运营商从多个应用程序收集系统信息并窃取敏感数据，例如密码和cookie。在该组织的攻击链中Void Banshee试图诱骗受害者打开包含伪装成书籍PDF的恶意文件的zip档案，这些档案通过云共享网站、Discord服务器和在线图书馆以及其他方式传播。

APT集团专注于北美、欧洲和东南亚，这次零日攻击是一个典型的例子，说明不受支持的Windows遗物如何成为一个被忽视的攻击面，威胁行为者仍然可以利用它来感染毫无戒心的用户勒索软件后门或作为其他类型恶意软件的渠道。

趋势科技表示Void Banshee利用已禁用的Internet Explorer进程使用特制的HTML应用程序，AE文件带有MHTML协议处理程序和x-usc！命令，此技术类似于对CVE-2021-40444的利用。CVE-2021-40444是另一个在零日攻击中被利用的MSHTML漏洞。专家警告说这种攻击方法非常令人担忧，因为Internet Explorer不再接收更新或安全修复程序。

报告指出：在这次攻击中，CVE-2024-38112被用作零日漏洞，通过打开和使用系统禁用的IE重定向到托管恶意HTML应用程序/(HTA)的受感染网站。

在lnternet快捷方式文件的URL参数中，我们可以看到Void Banshee专门使用MHTML协议处理程序和x-usc精心制作了这个URL字符串！此逻辑字符串通过iexplore.exe进程在本机Internet Explorer中打开URL目标。

Void Banshee APT CVE-2024-38112攻击者使用IE重定向到攻击者控制的域。在该域中HTML文件下载感染链的HTA阶段，Void Banshee使用这个HTML文件来控制Internet Explorer的窗口视图大小，隐藏浏览器信息并向受害者隐藏下一个感染阶段的下载。

默认情况下IE会提示用户打开或保存HTML应用程序，但APT组通过向文件扩展名添加空格将HTA文件伪装成PDF，运行HTA文件后将执行一系列脚本，以及LoadToBadXml.NET特洛伊木马加载程序、Donut shellcode和Atlantida窃取程序。

在这次活动中，我们观察到即使用户可能不再能够访问IE，威胁行为者仍然可以利用他们机器上挥之不去的Windows遗留物(如IE)来感染用户和组织勒索软件，后门或作为代理来执行其他恶意软件。

趋势科技总结道：像Void Banshee这样的APT组织利用IE等残疾人服务的能力对全球组织构成了重大威胁。由于IE等服务的攻击面很大并且不再接收补丁，因此对Windows用户来说是一个严重的安全问题。

开网页很卡，加载缓慢，修改后的结果: