Μια νέα καμπάνια διανομής κακόβουλου λογισμικού BitRAT βρίσκεται σε εξέλιξη, η οποία εκμεταλλεύεται χρήστες που θέλουν να ενεργοποιήσουν δωρεάν πειρατικές εκδόσεις λειτουργικών συστημάτων Windows χρησιμοποιώντας ανεπίσημους ενεργοποιητές αδειών χρήσης της Microsoft.
Το BitRAT είναι ένας ισχυρός trojan απομακρυσμένης πρόσβασης που πωλείται σε φόρουμ για το έγκλημα στον κυβερνοχώρο και σε αγορές σκοτεινού ιστού για μόλις $20 (πρόσβαση εφ’ όρου ζωής) σε όποιον εγκληματία του κυβερνοχώρου το θέλει.
Ως εκ τούτου, κάθε αγοραστής ακολουθεί τη δική του προσέγγιση όσον αφορά τη διανομή κακόβουλου λογισμικού, που κυμαίνονται από το ηλεκτρονικό ψάρεμα (phishing), τα λάθη ή το λογισμικό trojanized.
Στόχευση πειρατών με κακόβουλο λογισμικό
Σε μια νέα καμπάνια διανομής κακόβουλου λογισμικού BitRAT που ανακαλύφθηκε από ερευνητές στο AhnLab, οι φορείς απειλών διανέμουν το κακόβουλο λογισμικό ως ενεργοποιητής άδειας χρήσης Windows 10 Pro σε σκληρούς ιστού.
Τα Webhards είναι διαδικτυακές υπηρεσίες αποθήκευσης δημοφιλείς στη Νότια Κορέα που έχουν μια σταθερή εισροή επισκεπτών από συνδέσμους απευθείας λήψης που δημοσιεύονται σε πλατφόρμες μέσων κοινωνικής δικτύωσης ή στο Discord. Λόγω της ευρείας χρήσης τους στην περιοχή, οι φορείς απειλών χρησιμοποιούν πλέον πιο συχνά webhards για τη διανομή κακόβουλου λογισμικού.
H απειλή πίσω από τη νέα καμπάνια BitRAT φαίνεται να είναι Κορεάτης με βάση ορισμένους από τους Κορεάτες χαρακτήρες στα αποσπάσματα κώδικα και τον τρόπο διανομής της.
Για να χρησιμοποιήσετε σωστά τα Windows 10, πρέπει να αγοράσετε και να ενεργοποιήσετε μια άδεια χρήσης με τη Microsoft. Παρόλο που υπάρχουν τρόποι για να αποκτήσετε τα Windows 10 δωρεάν, εξακολουθείτε να χρειάζεστε μια έγκυρη άδεια χρήσης Windows 7 για να λάβετε τη δωρεάν αναβάθμιση.
Όσοι δεν θέλουν να ασχοληθούν με ζητήματα αδειοδότησης ή δεν έχουν άδεια για αναβάθμιση, στρέφονται συνήθως στην πειρατεία των Windows 10 και στη χρήση ανεπίσημων ενεργοποιητών, πολλοί από τους οποίους περιέχουν κακόβουλο λογισμικό.
Σε αυτήν την καμπάνια, το κακόβουλο αρχείο που προωθείται ως ενεργοποιητής των Windows 10 ονομάζεται “W10DigitalActiviation.exe” και διαθέτει ένα απλό GUI με ένα κουμπί “Ενεργοποίηση Windows 10”.
Ωστόσο, αντί να ενεργοποιήσει την άδεια χρήσης των Windows στο κεντρικό σύστημα, ο “ενεργοποιητής” θα κατεβάσει κακόβουλο λογισμικό από έναν ενσωματωμένο διακομιστή εντολών και ελέγχου που λειτουργεί από τους παράγοντες απειλής.
Το ωφέλιμο φορτίο που ανακτήθηκε είναι BitRAT, εγκατεστημένο στο %TEMP% ως “Software_Reporter_Tool.exe” και προστέθηκε στον φάκελο “Εκκίνηση”. Το πρόγραμμα λήψης προσθέτει επίσης εξαιρέσεις για το Windows Defender για να διασφαλίσει ότι το BitRAT δεν θα αντιμετωπίσει προβλήματα εντοπισμού.