Μια νέα καμπάνια διανομής του BitRAT malware στοχεύει χρήστες που θέλουν να ενεργοποιήσουν δωρεάν πειρατικές εκδόσεις των Windows, χρησιμοποιώντας ανεπίσημα Microsoft/ Windows license activators.
Το BitRAT είναι ένα ισχυρό trojan που επιτρέπει την απομακρυσμένη πρόσβαση σε συστήματα και πωλείται σε hacking forums και στο dark web για μόλις $20. Επομένως, μπορεί να το αποκτήσει εύκολα οποιοσδήποτε κυβερνοεγκληματίας και να ακολουθήσει τη δική του προσέγγιση όσον αφορά στη διανομή του κακόβουλου λογισμικού (από phishing μέχρι trojanized software).
Δείτε επίσης: Android trojan έχει περάσει στο Play Store και κλέβει Facebook credentials
Στη νέα καμπάνια διανομής του BitRAT, που ανακαλύφθηκε από ερευνητές της AhnLab, οι παράγοντες απειλών διανέμουν το κακόβουλο λογισμικό ως license activator για Windows 10 Pro, σε webhards.
Τα webhards είναι διαδικτυακές υπηρεσίες αποθήκευσης που είναι ιδιαίτερα δημοφιλείς στη Νότια Κορέα και έχουν μια σταθερή εισροή επισκεπτών από συνδέσμους λήψης που δημοσιεύονται σε social media πλατφόρμες ή στο Discord. Λόγω της ευρείας χρήσης τους στην περιοχή, οι φορείς απειλών χρησιμοποιούν πλέον πιο συχνά webhards για τη διανομή κακόβουλου λογισμικού.
Πιστεύεται ότι οι επιτιθέμενοι πίσω από τη νέα εκστρατεία BitRAT, είναι Κορεάτες (με βάση ορισμένους χαρακτήρες στα code snippets και τον τρόπο διανομής).
Για να χρησιμοποιήσει κάποιος σωστά τα Windows 10, πρέπει να αγοράσει και να ενεργοποιήσει μια άδεια χρήσης (license) της Microsoft. Αν και υπάρχουν τρόποι δωρεάν απόκτησης των Windows 10, είναι απαραίτητη μια έγκυρη άδεια χρήσης Windows 7.
Όσοι δεν θέλουν να ασχοληθούν με ζητήματα licensing ή δεν έχουν license για αναβάθμιση, στρέφονται συνήθως σε πειρατικά Windows 10 και στη χρήση ανεπίσημων activators, τα οποία όμως συχνά, περιέχουν malware.
Σε αυτήν την καμπάνια, το κακόβουλο αρχείο που προωθείται ως Windows 10 activator, ονομάζεται “W10DigitalActiviation.exe” και διαθέτει ένα απλό GUI με ένα κουμπί “Ενεργοποίηση Windows 10“.
Ωστόσο, αντί να ενεργοποιήσει την άδεια χρήσης των Windows στο κεντρικό σύστημα, ο “activator” κατεβάζει το BitRAT malware από έναν command and control server που ελέγχεται από τους επιτιθέμενους.
Δείτε επίσης: CryptBot malware: Νέα έκδοση διανέμεται μέσω πειρατικών sites
Το BitRAT malware είναι πια εγκατεστημένο στο %TEMP% as ‘Software_Reporter_Tool.exe’ και έχει προστεθεί στο Startup folder. Το downloader προσθέτει επίσης exclusions για το Windows Defender για να διασφαλίσει ότι το BitRAT malware δεν θα εντοπιστεί.
Μόλις ολοκληρωθεί η διαδικασία εγκατάστασης του κακόβουλου λογισμικού, το downloader διαγράφεται από το σύστημα αφήνοντας πίσω μόνο το BitRAT.
BitRAT: Ένα ισχυρό και ευέλικτο RAT
Το BitRAT προωθείται ως ένα ισχυρό, φθηνό και ευέλικτο κακόβουλο λογισμικό που μπορεί να κλέψει πολλές πολύτιμες πληροφορίες, να εκτελέσει επιθέσεις DdoS κ.λπ.
Το BitRAT επιτρέπει keylogging, παρακολούθηση clipboard, πρόσβαση στη web κάμερα, εγγραφή ήχου, κλοπή credential από προγράμματα περιήγησης και cryptomining.
Δείτε επίσης: Western Digital: Κρίσιμο bug στο EdgeRover desktop app επηρεάζει Windows/macOS
Επιπλέον, προσφέρει απομακρυσμένο έλεγχο για συστήματα Windows, κρυφό virtual network computing (hVNC) και reverse proxy μέσω SOCKS4 και SOCKS5 (UDP).
Κίνδυνος χρήσης πειρατικών προγραμμάτων
Ακόμα κι αν κάποιος δεν νοιάζεται για τις νομικές και ηθικές πτυχές του ζητήματος, πρέπει να σκεφτεί τους κινδύνους για τον ίδιο.
Τα πειρατικά προγράμματα, όπως σε αυτή την περίπτωση τα Windows license activators, μπορούν να μολύνουν μια συσκευή με επικίνδυνα malware (π.χ. BitRAT)
Πηγή: Bleeping Computer
