下一页：美国国土安全部部长

黑客如何伪装病毒滋生地，使其在搜索结果中排名靠前？

网络安全公司 eSentire 报告了一项新行动，通过伪装成在独联体国家非常流行的 Windows 激活工具（例如 KMSPico）的虚假网站分发 Vidar 信息窃取程序。

eSentire 报告 维达尔 窗口

KMSPico 和其他 KMS 产品是 Windows 和其他 Microsoft 产品的非法激活工具，可以绕过许可限制。用户经常在互联网上搜索它们，以便免费激活其软件而无需购买许可证。然而，攻击者经常使用此类工具来传播恶意软件。

在 eSentire 专家审查的事件中，一名用户访问了“kmspico[.]ws”网站，并差点从该网站下载了感染病毒的激活器。在对该网站及其内容进行彻底分析后，专家得出以下结论：

“'kmspico[.]ws' 站点受 Cloudflare Turnstile 的 CAPTCHA 系统保护，需要输入代码才能下载最终的 ZIP 包，”eSentire 指出。 “这些步骤对于合法的下载网站来说是非常不寻常的，目的是隐藏页面和自动网络爬虫产生的恶意文件。”

下载的 ZIP 存档经专家分析，包含 Java 依赖项和可执行文件“Setuper_KMS-ACTIV.exe”。运行时，该文件禁用 Windows Defender 中的行为监控并运行 AutoIt 脚本。 AutoIt 脚本反过来解密并启动了 Vidar Stealer 恶意软件。

Java 自动

Vidar 本身就是一个相当知名的数据窃贼。该恶意软件能够收集登录名、密码、浏览器历史记录、cookie、自动填充数据以及银行卡数据和加密货币钱包等财务信息。收集到的数据被发送到命令和控制服务器，攻击者可以在其中访问它。

最近报告