Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.

BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.

Таким образом, каждый покупатель придерживается собственного подхода к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.

Ориентация на пиратов с помощью вредоносных программ

В ходе новой кампании по распространению вредоносных программ BitRAT, обнаруженной исследователями из AhnLab, злоумышленники распространяют вредоносное ПО в качестве активатора лицензии Windows 10 Pro на веб-серверах.

Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще используют веб-серверы для распространения вредоносного ПО .

Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.

https://www.safezone.cc/proxy.php?im...54019d3c8d1f65

Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор(ASEC)


Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть способы получить Windows 10 бесплатно , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.

Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.

В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».

https://www.safezone.cc/proxy.php?im...246ac62502d90d

Загрузчик вредоносных программ, выдающий себя за активатор Windows(ASEC)

Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.

Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.

После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.

https://www.safezone.cc/proxy.php?im...f656ce794153ad

Загрузчик, извлекающий полезную нагрузку BitRAT(ASEC)


Универсальная КРЫСА

BitRAT позиционируется как мощная, недорогая и универсальная вредоносная программа, способная похищать широкий спектр ценной информации с хоста, выполнять DDoS-атаки, обход UAC и т. д.

BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.

Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте аналитики ASEC обнаружили сильное сходство кода с TinyNuke и его производным AveMaria (Warzone).

Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.

Источник: https://www.bleepingcomputer.com/ne...-spreading-as-a-windows-10-license-activator/