Quale dovrebbe essere la priorità numero uno quando si accede a Internet? Se hai indovinato qualcosa che avesse a che fare con lo shopping o con i giochi, non sei ancora arrivato. Sono i malware (e gli altri cyberthreat)!
In effetti, la sicurezza dovrebbe essere la nostra priorità numero uno quando abbiamo a che fare con questo mondo online pericoloso e in continua evoluzione in cui viviamo attualmente.
Potresti voler sapere che la società di ricerca sulla sicurezza ASEC ha scoperto una nuova campagna di malware che si maschera sotto forma di uno strumento di verifica dei codici Product Key di Windows.
Tuttavia, non lasciarti ingannare dal travestimento ufficiale, poiché quello strumento è in realtà un malware BitRAT o un trojan di accesso remoto.
Il software di attivazione di Windows può infettare seriamente il tuo PC
L'ASEC scopre che questo particolare RAT è distribuito tramite Webhard, che sono servizi di condivisione di file online in Corea. Sebbene sia noto che software piratato e non ufficiale infettano i dispositivi con malware, le persone tendono a non prendere sul serio tali avvisi.
Inutile dire che questo spinge i creatori di malware a intensificare il loro gioco e mantenere un flusso costante di software dannoso che arriva alle masse.
Malware: come funziona BitRAT
Per spiegare meglio come funziona, il file zip scaricato W10DigitalActivation.exe contiene il temuto file ma contiene anche un vero file di attivazione di Windows.
Il file W10DigitalActivation _msi è apparentemente reale mentre l'altro file W10DigitalActivation_Temp è il malware.
Nel momento in cui un utente ignaro esegue il file exe, sia lo strumento di verifica effettivo che il file malware vengono eseguiti contemporaneamente.
Naturalmente, questa azione darà a detto utente l'impressione che tutto funzioni come previsto e che non c'è davvero nulla di losco nell'intera faccenda.
Quindi, il file malware W10DigitalActivation_Temp.exe continua a scaricare file dannosi aggiuntivi dal server di comando e controllo (C&C) e li fornisce all'interno della cartella del programma di avvio di Windows tramite PowerShell.
Infine, BitRAT è installato come file Software_Reporter_Tool.exe all'interno della cartella %temp% e in Windows Defender.
Vengono aggiunti anche il percorso di esclusione per la cartella di avvio e il processo di esclusione per BitRAT, nel caso te lo stessi chiedendo.