Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.
BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.
Таким образом, каждый покупатель придерживается
собственного подхода к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.
Ориентация на пиратов с помощью вредоносных программ
В ходе новой кампании по распространению вредоносных программ BitRAT, обнаруженной исследователями из AhnLab, злоумышленники распространяют вредоносное ПО в качестве активатора лицензии Windows 10 Pro на веб-серверах.
Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще
используют веб-серверы для распространения вредоносного ПО .
Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.
Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор(ASEC)
Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть
способы получить Windows 10 бесплатно , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.
Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.
В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».
Загрузчик вредоносных программ, выдающий себя за активатор Windows(ASEC)
Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.
Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.
После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.
Загрузчик, извлекающий полезную нагрузку BitRAT(ASEC)
Универсальная КРЫСА
BitRAT позиционируется как мощная, недорогая и универсальная вредоносная программа, способная похищать широкий спектр ценной информации с хоста, выполнять DDoS-атаки, обход UAC и т. д.
BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.
Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте
аналитики ASEC обнаружили сильное сходство кода с
TinyNuke и его производным AveMaria (Warzone).
Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.
Источник:
https://www.bleepingcomputer.com/ne...-spreading-as-a-windows-10-license-activator/
Древовидный вид