Билл Тулас
Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.
BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.
Таким образом, каждый покупатель придерживается собственного подхода к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.
Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще используют веб-серверы для распространения вредоносного ПО .
Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.
Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор (ASEC)
Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть способы получить Windows 10 бесплатно , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.
Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.
В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».
Загрузчик вредоносных программ, выдающий себя за активатор Windows (ASEC)
Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.
Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.
После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.
Загрузчик, извлекающий полезную нагрузку BitRAT (ASEC)
BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.
Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте аналитики ASEC обнаружили сильное сходство кода с TinyNuke и его производным AveMaria (Warzone).
Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.
Чем больше инструментов используется для активации незаконно полученных копий программного обеспечения или взлома их систем защиты интеллектуальной собственности, тем выше шансы заражения вредоносным ПО.
Тем, кто не может позволить себе приобрести лицензию Windows, следует вместо этого рассмотреть альтернативные варианты, такие как принятие ограничений бесплатной версии, отслеживание специальных предложений от надежных платформ или использование Linux.
В конечном счете, пользователи не должны доверять активаторам лицензий и любым неподписанным исполняемым файлам, созданным и выпущенным неизвестными поставщиками, для работы в вашей системе.
Перевод - Google
Bleeping Computer
- 22 марта 2022 г.
Продолжается новая кампания по распространению вредоносного ПО BitRAT, в ходе которой пользователи хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.
BitRAT — это мощный троян для удаленного доступа, который продается на форумах по киберпреступности и на рынках даркнета всего за 20 долларов (пожизненный доступ) любому киберпреступнику, который этого захочет.
Таким образом, каждый покупатель придерживается собственного подхода к распространению вредоносного ПО, начиная от фишинга, водопоя и заканчивая троянским программным обеспечением.
Ориентация на пиратов с помощью вредоносных программ
В ходе новой кампании по распространению вредоносных программ BitRAT, обнаруженной исследователями из AhnLab, злоумышленники распространяют вредоносное ПО в качестве активатора лицензии Windows 10 Pro на веб-серверах.Webhards — это популярные в Южной Корее службы онлайн-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для скачивания, размещенным на платформах социальных сетей или Discord. Из-за их широкого распространения в регионе злоумышленники теперь чаще используют веб-серверы для распространения вредоносного ПО .
Актер, стоящий за новой кампанией BitRAT, похоже, кореец, судя по некоторым корейским символам в фрагментах кода и способу его распространения.
Публикация, рекламирующая активатор Windows BitRAT, удаляющий активатор (ASEC)Чтобы правильно использовать Windows 10, вам необходимо приобрести и активировать лицензию в Microsoft. Хотя есть способы получить Windows 10 бесплатно , вам все равно потребуется действующая лицензия Windows 7, чтобы получить бесплатное обновление.
Те, кто не хочет заниматься вопросами лицензирования или не имеет лицензии на обновление, обычно прибегают к пиратству Windows 10 и использованию неофициальных активаторов, многие из которых содержат вредоносное ПО.
В этой кампании вредоносный файл, продвигаемый как активатор Windows 10, называется «W10DigitalActiviation.exe» и имеет простой графический интерфейс с кнопкой «Активировать Windows 10».
Загрузчик вредоносных программ, выдающий себя за активатор Windows (ASEC)Однако вместо того, чтобы активировать лицензию Windows на хост-системе, «активатор» загрузит вредоносное ПО с жестко заданного сервера управления и контроля, которым управляют злоумышленники.
Извлеченная полезная нагрузка — это BitRAT, установленная в %TEMP% как «Software_Reporter_Tool.exe» и добавленная в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows, чтобы гарантировать, что BitRAT не столкнется с проблемами обнаружения.
После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.
Загрузчик, извлекающий полезную нагрузку BitRAT (ASEC)Универсальная КРЫСА
BitRAT позиционируется как мощная, недорогая и универсальная вредоносная программа, способная похищать широкий спектр ценной информации с хоста, выполнять DDoS-атаки, обход UAC и т. д.BitRAT поддерживает общее кейлоггинг, мониторинг буфера обмена, доступ к веб-камере, аудиозапись, кражу учетных данных из веб-браузеров и функции майнинга монет XMRig.
Кроме того, он предлагает удаленное управление системами Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). На этом фронте аналитики ASEC обнаружили сильное сходство кода с TinyNuke и его производным AveMaria (Warzone).
Функция скрытого рабочего стола на этих RAT настолько ценна, что некоторые хакерские группы, такие как Kimsuky, включили их в свой арсенал только для того, чтобы использовать инструмент hVNC.
Риск пиратства
Даже если игнорировать юридические и этические аспекты, использование пиратского программного обеспечения — это всегда риск для безопасности.Чем больше инструментов используется для активации незаконно полученных копий программного обеспечения или взлома их систем защиты интеллектуальной собственности, тем выше шансы заражения вредоносным ПО.
Тем, кто не может позволить себе приобрести лицензию Windows, следует вместо этого рассмотреть альтернативные варианты, такие как принятие ограничений бесплатной версии, отслеживание специальных предложений от надежных платформ или использование Linux.
В конечном счете, пользователи не должны доверять активаторам лицензий и любым неподписанным исполняемым файлам, созданным и выпущенным неизвестными поставщиками, для работы в вашей системе.
Перевод - Google
Bleeping Computer
