Эксперты Avast предупредили, что новый вариант малвари AsyncRAT, получивший название HotRat, распространяется через пиратские версии популярных программ и утилит, включая игры, Microsoft Office, а также ПО для редактирования аудио и изображений.

Оригинальный AsyncRAT (троян удаленного доступа) предназначен для удаленного мониторинга и управления зараженными компьютерами через безопасное зашифрованное соединение. Его «преемник», HotRat, активен как минимум с октября 2022 года, и большинство заражений сосредоточены в Таиланде, Гайане, Ливии, Суринаме, Мали, Пакистане, Камбодже, Южной Африке и Индии.

«Вредоносное ПО HotRat предоставляет злоумышленникам широкий спектр возможностей, включая кражу учетных данных, информации криптовалютных кошельков, захват экрана, кейлоггинг, установку дополнительных вредоносных программ, а также получение доступа к данным буфера обмена и их изменение», — пишут специалисты.

Распространяется HotRat при помощи объединения вредоносного скрипта AutoHotkey с различным взломанным ПО, которое обычно доступно на торрент-трекерах. Скрипт инициирует цепочку заражения и предназначен для деактивации антивирусов на скомпрометированном хосте, а также запуска полезной нагрузки HotRat с помощью загрузчика скриптов Visual Basic.

Схема атаки

Эксперты описывают HotRat как комплексный RAT, который поддерживает без малого 20 команд, каждая из которых выполняет модуль .NET, полученный с удаленного сервера, что позволяет операторам малвари, расширять ее функции по мере необходимости.

«Невзирая на существенные риски, непреодолимый соблазн бесплатно получить качественное ПО сохраняется, что заставляет многих людей скачивать нелегальное программное обеспечение. Поэтому такое ПО по-прежнему остается эффективным методом для широкого распространения вредоносных программ», — заключают исследователи.

Источник: xakep