Вредоносное ПО BitRAT распространяется как активатор лицензии Windows 10

Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.

BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.

Таким образом, каждый покупатель придерживается собственного подхода к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.

Ориентация на пиратов с помощью вредоносных программ
В ходе новой кампании по распространению вредоносных программ BitRAT, обнаруженной исследователями из AhnLab, злоумышленники распространяют вредоносное ПО в качестве активатора лицензии Windows 10 Pro на веб-серверах.

Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще используют веб-серверы для распространения вредоносного ПО .

Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.

Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор (ASEC)

Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть способы получить Windows 10 бесплатно , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.

Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.

В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».


Загрузчик вредоносных программ, выдающий себя за активатор Windows (ASEC)
Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.

Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.

После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.


Загрузчик, извлекающий полезную нагрузку BitRAT (ASEC)

Универсальная КРЫСА
BitRAT позиционируется как мощная, недорогая и универсальная вредоносная программа, способная похищать широкий спектр ценной информации с хоста, выполнять DDoS-атаки, обход UAC и т. д.
BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.
Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте аналитики ASEC обнаружили сильное сходство кода с TinyNuke и его производным AveMaria (Warzone).

Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.

Источник: https://www.bleepingcomputer.com/ne...-spreading-as-a-windows-10-license-activator/