文章预览
1. 假 KMSPico 激活器通过Vidar Stealer 恶意软件传播 6月10日,研究人员检测到一次涉及伪造的 KMSPico 激活工具的攻击,该攻击通过多次事件传播了 Vidar Stealer。此次攻击利用 Java 依赖项和恶意 AutoIt 脚本禁用 Windows Defender 并通过 shellcode解密Vidar 负载。用户在网络上搜索 KMSPico,并浏览到最顶部的结果 (kmspico[.]ws),该产品被称为 Windows 的“通用激活器”,但似乎不再维护。该网站托管在 Cloudflare Turnstile 后面,需要人工输入才能下载最终的 Zip 包,这是一种向自动网络爬虫隐藏页面和最终有效负载的策略。ZIP 存档包含 Java 依赖项和恶意可执行文件 Setuper_KMS-ACTIV.exe。启动可执行文件后,javaw.exe 将启动,禁用 Windows Defender 中的行为监控,并删除名为“x”的恶意 AutoIt 脚本以及名为 Flour.pif 的 AutoIt。威胁行为者使用死信箱解析器将命令和控制 (C2) 信息托管在合法
………………………………
