BitRAT — популярный троян для удаленного доступа, который продается на киберпреступных форумах и на рынках даркнета.

Операторы вредоносного ПО BitRAT нацелились на пользователей, которые хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft.

BitRAT — троян для удаленного доступа, который продается на киберпреступных форумах и на рынках даркнета всего за $20 (пожизненный доступ) любому человеку.

По словам исследователей из AhnLab, злоумышленники распространяют вредоносное ПО BitRAT под видом активатора лицензии Windows 10 Pro на так называемых webhard-сервисах.

Webhard — популярные в Южной Корее сервисы online-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для загрузки, размещенным в социальных сетях или Discord. Из-за их большой популярности в регионе злоумышленники стали чаще используют подобные сервисы для распространения вредоносного ПО.

Как предполагают эксперты, злоумышленники, организовавшие новую кампанию BitRAT, корейцы. Предположение основано на некоторых корейских символах в коде и способе его распространения.

В ходе данной кампании вредоносный файл, предлагаемый как активатор Windows 10, называется W10DigitalActiviation.exe и имеет простой графический интерфейс с кнопкой «Активировать Windows 10». Однако вместо активации лицензии программа загрузит вредоносное ПО с командного сервера злоумышленников.

Полезная нагрузка — BitRAT, установленный в %TEMP% как «Software_Reporter_Tool.exe» и добавленный в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows с целью избежания обнаружения вредоноса. После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT.

BitRAT поддерживает функции кейлоггинга, мониторинга буфера обмена, доступа к web-камере, аудиозаписи, кражи учетных данных из браузеров и функции майнинга криптовалюты XMRig. Кроме того, вредонос обеспечивает удаленное управление системами под управлением Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP).

Источник: securitylab