I ricercatori di ASEC hanno da poco scoperto l’esistenza di un nuovo malware mascherato da strumento per ottenere product key pirata di Windows 10 e, dunque, per attivare illecitamente il sistema operativo, che però va in realtà ad intrufolarsi nel computer e lo infetta. Il malware in questione si chiama BitRAT, è un trojan di accesso remoto e proprio per le sue caratteristiche è in grado di aggirare Microsoft Defender.
BitRAT: così agisce il malware camuffato da attivatore di Windows 10
In questa campagna, il file dannoso, distribuito prevalentemente tramite il servizio di condivisione file online Webhards che è molto popolare in Corea, è denominato “W10DigitalActiviation.exe” e presenta una semplice GUI con un pulsante per attivare il sistema. Una volta premuto il bottone, però, sul sistema host viene scaricato il malware BitRAT da un server di comando e controllo codificato gestito da malintenzionati.
Il malware, contenuto nel file denominato “Software_Reporter_Tool.exe”, viene installato nel percorso “%TEMP%” e aggiunto alla cartella che contiene i programmi per l’esecuzione automatica. Vengono altresì aggiunte delle esclusioni per Windows Defender per garantire che BitRAT non vada incontro a problemi di rilevamento. Ultimato il processo di installazione del malware, il downloader si elimina dal sistema lascando solo BitRAT.
Da notare che BitRAT è un malware potente, poco costoso e versatile, in grado di estrapolare una vasta gamma di informazioni preziose dall’host, eseguire attacchi DDoS, effettuare il bypass dell’UAC e molto altro. Supporta il keylogging generico, il monitoraggio degli appunti, l’accesso alla webcam, la registrazione audio, il furto di credenziali dai browser Web e la funzionalità di coin mining XMRig.
Ti potrebbe interessare
23 mar 2022