Вредонос BitRAT распространяется под видом активатора лицензии Windows 10

23.03.2022
Вредонос BitRAT распространяется под видом активатора лицензии Windows 10

Операторы вредоносного ПО BitRAT нацелились на пользователей, которые хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft, сообщает SecurityLab.

BitRAT — троян для удаленного доступа, который продается на киберпреступных форумах и на рынках даркнета всего за $20 (пожизненный доступ) любому человеку.

По словам исследователей из AhnLab, злоумышленники распространяют вредоносное ПО BitRAT под видом активатора лицензии Windows 10 Pro на так называемых webhard-сервисах.

Webhard — популярные в Южной Корее сервисы online-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для загрузки, размещенным в социальных сетях или Discord. Из-за их большой популярности в регионе злоумышленники стали чаще используют подобные сервисы для распространения вредоносного ПО.

Как предполагают эксперты, злоумышленники, организовавшие новую кампанию BitRAT, корейцы. Предположение основано на некоторых корейских символах в коде и способе его распространения.

В ходе данной кампании вредоносный файл, предлагаемый как активатор Windows 10, называется W10DigitalActiviation.exe и имеет простой графический интерфейс с кнопкой «Активировать Windows 10». Однако вместо активации лицензии программа загрузит вредоносное ПО с командного сервера злоумышленников.

Полезная нагрузка — BitRAT, установленный в %TEMP% как «Software_Reporter_Tool.exe» и добавленный в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows с целью избежания обнаружения вредоноса. После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.

BitRAT поддерживает функции кейлоггинга, мониторинга буфера обмена, доступа к web-камере, аудиозаписи, кражи учетных данных из браузеров и функции майнинга криптовалюты XMRig. Кроме того, вредонос обеспечивает удаленное управление системами под управлением Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP).


Популярные материалы