Resmi olmayan Microsoft lisans etkinleştiricilerini kullanarak korsan Windows işletim sistemi sürümlerini ücretsiz olarak etkinleştirmek isteyen kullanıcıları istismar eden yeni bir BitRAT kötü amaçlı yazılım dağıtım kampanyası yürütülüyor.
BitRAT, siber suç forumlarında ve karanlık web pazarlarında, isteyen herhangi bir siber suçluya 20 ABD Doları (ömür boyu erişim) gibi düşük bir fiyata satılan güçlü bir uzaktan erişim truva atıdır.
Bu nedenle, her alıcı takip eder kendi yaklaşımları kimlik avı, sulama delikleri veya truva atlanmış yazılımlardan kötü amaçlı yazılım dağıtımına kadar.
Kötü amaçlı yazılımlarla korsanları hedefleme
AhnLab’daki araştırmacılar tarafından keşfedilen yeni bir BitRAT kötü amaçlı yazılım dağıtım kampanyasında, tehdit aktörleri kötü amaçlı yazılımı web donanımlarında Windows 10 Pro lisans etkinleştiricisi olarak dağıtıyor.
Webhard’lar, Güney Kore’de popüler olan ve sosyal medya platformlarında veya Discord’da yayınlanan doğrudan indirme bağlantılarından sürekli bir ziyaretçi akışına sahip çevrimiçi depolama hizmetleridir. Bölgedeki yaygın kullanımları nedeniyle tehdit aktörleri artık daha yaygın kötü amaçlı yazılımları dağıtmak için web sabitlerini kullanma.
Yeni BitRAT kampanyasının arkasındaki aktör, kod parçacıklarındaki bazı Korece karakterlere ve dağıtım şekline göre Koreli gibi görünüyor.
Windows 10’u doğru şekilde kullanmak için Microsoft’tan bir lisans satın almanız ve etkinleştirmeniz gerekir. varken Windows 10’u ücretsiz edinmenin yollarıücretsiz yükseltmeyi almak için hala geçerli bir Windows 7 lisansına ihtiyacınız var.
Lisans sorunlarıyla uğraşmak istemeyenler veya yükseltme lisansı olmayanlar genellikle Windows 10’u korsan kullanmaya ve çoğu kötü amaçlı yazılım içeren resmi olmayan etkinleştiriciler kullanmaya yöneliyor.
Bu kampanyada, Windows 10 etkinleştiricisi olarak tanıtılan kötü amaçlı dosya ‘W10DigitalActiviation.exe’ olarak adlandırılıyor ve “Windows 10’u Etkinleştir” düğmesi olan basit bir GUI içeriyor.
Ancak, ana sistemde Windows lisansını etkinleştirmek yerine, “aktivatör”, tehdit aktörleri tarafından işletilen sabit kodlanmış bir komut ve kontrol sunucusundan kötü amaçlı yazılım indirecektir.
Getirilen yük, %TEMP% içine ‘Software_Reporter_Tool.exe’ olarak yüklenen ve Başlangıç klasörüne eklenen BitRAT’tır. İndirici, BitRAT’ın algılama sorunlarıyla karşılaşmamasını sağlamak için Windows Defender için istisnalar da ekler.
Kötü amaçlı yazılım yükleme işlemi tamamlandığında, indirici kendisini sistemden siler ve geride yalnızca BitRAT bırakır.
Çok yönlü bir RAT
BitRAT, ana bilgisayardan çok çeşitli değerli bilgileri kapabilen, DDoS saldırıları gerçekleştirebilen, UAC bypass’ı gerçekleştirebilen güçlü, ucuz ve çok yönlü bir kötü amaçlı yazılım olarak tanıtılmaktadır.
BitRAT, genel tuş kaydetme, pano izleme, web kamerası erişimi, ses kaydı, web tarayıcılarından kimlik bilgisi hırsızlığı ve XMRig madeni para madenciliği işlevini destekler.
Ek olarak, Windows sistemleri için uzaktan kontrol, gizli sanal ağ bilgi işlem (hVNC) ve SOCKS4 ve SOCKS5 (UDP) aracılığıyla ters proxy sunar. O cephede, ASEC analistleri ile güçlü kod benzerlikleri bulduk MinikNukeve türevi AveMaria (Warzone).
Bu RAT’lerdeki gizli masaüstü özelliği o kadar değerli ki, Kimsuky gibi bazı bilgisayar korsanlığı grupları, yalnızca hVNC aracını kullanmak için onları cephanelerine dahil etti.
korsanlık riski
Yasal ve etik hususlar göz ardı edilse bile korsan yazılım kullanmak her zaman bir güvenlik kumarıdır.
Yazılımların yasa dışı olarak elde edilen kopyalarını etkinleştirmek veya fikri mülkiyet koruma sistemlerini kırmak için ne kadar çok araç kullanılırsa, kötü amaçlı bir kötü amaçlı yazılım bulaşması olasılığı o kadar artar.
Windows lisansı satın almaya gücü yetmeyenler, bunun yerine ücretsiz sürümün sınırlamalarını kabul etmek, güvenilir platformlardan özel teklifleri izlemek veya Linux kullanmak gibi alternatif seçeneklere bakmalıdır.
Sonuç olarak, kullanıcılar, sisteminizde çalıştırmak için bilinmeyen satıcılar tarafından yazılan ve yayınlanan lisans etkinleştiricilerine ve imzasız yürütülebilir dosyalara güvenmemelidir.