L’ASEC ha scoperto che questo particolare RAT è distribuito tramite Webhards, che sono servizi di condivisione di file online in Corea. Sebbene sia noto che il software piratato e piratato infetta i dispositivi con malware, molte persone tendono a non prendere sul serio tali avvisi o potrebbero non essere in grado di permettersi licenze Windows originali. Pertanto, i produttori di malware continuano a creare e distribuire malware attraverso tali mezzi.
Ora, parlando di come funziona BitRAT, ASEC spiega che il file zip scaricato “W10DigitalActivation.exe” contiene un file dannoso, ma contiene anche un vero file di attivazione di Windows. Il file MSI “W10DigitalActivation” sembra essere reale, mentre l’altro file “W10DigitalActivation_Temp” è un malware (vedi immagine sotto).
Quando un utente ignaro esegue un eseguibile, sia il controllo reale che il file malware vengono eseguiti contemporaneamente, dando all’utente l’impressione che il Controllo chiave di licenza di Windows funzioni correttamente.
Il dannoso W10DigitalActivation_Temp.exe scarica quindi altri file dannosi dal server Command and Control (C&C) e li consegna alla cartella Windows Launcher tramite PowerShell. Infine, BitRAT viene installato come file “Software_Reporter_Tool.exe” all’interno della cartella %temp% e Windows Defender aggiunge un percorso di esclusione per la cartella di avvio e un processo di esclusione per BitRAT.
Puoi trovare maggiori dettagli tecnici nel post del blog originale .
Lascia un commento