alexzir
22.03.2022, 15:07
Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.
BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.
Таким образом, каждый покупатель придерживается собственного подхода (https://www.bleepingcomputer.com/news/security/discord-malware-campaign-targets-crypto-and-nft-communities/) к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.
Ориентация на пиратов с помощью вредоносных программ
В ходе новой кампании по распространению вредоносных программ BitRAT, обнаруженной исследователями из AhnLab, злоумышленники распространяют вредоносное ПО в качестве активатора лицензии Windows 10 Pro на веб-серверах.
Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще используют веб-серверы для распространения вредоносного ПО (https://www.bleepingcomputer.com/news/security/rat-malware-spreading-in-korea-through-webhards-and-torrents/) .
Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.
https://www.safezone.cc/proxy.php?image=https%3A%2F%2Fwww.bleepstatic.com% 2Fimages%2Fnews%2Fu%2F1220909%2Fsocial%2520media%2 Fpost.jpg&hash=298a9ee04aeb793e5754019d3c8d1f65
Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор(ASEC)
Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть способы получить Windows 10 бесплатно (https://www.bleepingcomputer.com/news/microsoft/you-can-still-upgrade-to-windows-10-for-free-heres-how/) , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.
Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.
В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».
https://www.safezone.cc/proxy.php?image=https%3A%2F%2Fwww.bleepstatic.com% 2Fimages%2Fnews%2Fu%2F1220909%2FSoftware%2Fwin_10. jpg&hash=fbeac645d97e44e4cc246ac62502d90d
Загрузчик вредоносных программ, выдающий себя за активатор Windows(ASEC)
Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.
Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.
После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.
https://www.safezone.cc/proxy.php?image=https%3A%2F%2Fwww.bleepstatic.com% 2Fimages%2Fnews%2Fu%2F1220909%2FCode%2520and%2520D etails%2Fpayload.jpg&hash=4526a7e76700f4363af656ce794153ad
Загрузчик, извлекающий полезную нагрузку BitRAT(ASEC)
Универсальная КРЫСА
BitRAT позиционируется как мощная, недорогая и универсальная вредоносная программа, способная похищать широкий спектр ценной информации с хоста, выполнять DDoS-атаки, обход UAC и т. д.
BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.
Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте аналитики ASEC (https://asec.ahnlab.com/en/32781/) обнаружили сильное сходство кода с TinyNuke (https://www.bleepingcomputer.com/news/security/tinynuke-info-stealing-malware-is-again-attacking-french-users/) и его производным AveMaria (Warzone).
Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.
Источник: https://www.bleepingcomputer.com/ne...-spreading-as-a-windows-10-license-activator/ (https://www.bleepingcomputer.com/news/security/bitrat-malware-now-spreading-as-a-windows-10-license-activator/)
BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.
Таким образом, каждый покупатель придерживается собственного подхода (https://www.bleepingcomputer.com/news/security/discord-malware-campaign-targets-crypto-and-nft-communities/) к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.
Ориентация на пиратов с помощью вредоносных программ
В ходе новой кампании по распространению вредоносных программ BitRAT, обнаруженной исследователями из AhnLab, злоумышленники распространяют вредоносное ПО в качестве активатора лицензии Windows 10 Pro на веб-серверах.
Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще используют веб-серверы для распространения вредоносного ПО (https://www.bleepingcomputer.com/news/security/rat-malware-spreading-in-korea-through-webhards-and-torrents/) .
Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.
https://www.safezone.cc/proxy.php?image=https%3A%2F%2Fwww.bleepstatic.com% 2Fimages%2Fnews%2Fu%2F1220909%2Fsocial%2520media%2 Fpost.jpg&hash=298a9ee04aeb793e5754019d3c8d1f65
Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор(ASEC)
Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть способы получить Windows 10 бесплатно (https://www.bleepingcomputer.com/news/microsoft/you-can-still-upgrade-to-windows-10-for-free-heres-how/) , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.
Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.
В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».
https://www.safezone.cc/proxy.php?image=https%3A%2F%2Fwww.bleepstatic.com% 2Fimages%2Fnews%2Fu%2F1220909%2FSoftware%2Fwin_10. jpg&hash=fbeac645d97e44e4cc246ac62502d90d
Загрузчик вредоносных программ, выдающий себя за активатор Windows(ASEC)
Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.
Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.
После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.
https://www.safezone.cc/proxy.php?image=https%3A%2F%2Fwww.bleepstatic.com% 2Fimages%2Fnews%2Fu%2F1220909%2FCode%2520and%2520D etails%2Fpayload.jpg&hash=4526a7e76700f4363af656ce794153ad
Загрузчик, извлекающий полезную нагрузку BitRAT(ASEC)
Универсальная КРЫСА
BitRAT позиционируется как мощная, недорогая и универсальная вредоносная программа, способная похищать широкий спектр ценной информации с хоста, выполнять DDoS-атаки, обход UAC и т. д.
BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.
Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте аналитики ASEC (https://asec.ahnlab.com/en/32781/) обнаружили сильное сходство кода с TinyNuke (https://www.bleepingcomputer.com/news/security/tinynuke-info-stealing-malware-is-again-attacking-french-users/) и его производным AveMaria (Warzone).
Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.
Источник: https://www.bleepingcomputer.com/ne...-spreading-as-a-windows-10-license-activator/ (https://www.bleepingcomputer.com/news/security/bitrat-malware-now-spreading-as-a-windows-10-license-activator/)