Une nouvelle campagne de distribution de logiciels malveillants BitRAT est en cours, exploitant les utilisateurs cherchant à activer gratuitement des versions piratées du système d’exploitation Windows à l’aide d’activateurs de licence Microsoft non officiels.
BitRAT est un puissant cheval de Troie d’accès à distance vendu sur les forums de cybercriminalité et les marchés du dark web pour aussi peu que 20 $ (accès à vie) à tout cybercriminel qui le souhaite.
En tant que tel, chaque acheteur suit sa propre approche de la distribution de logiciels malveillants, allant du phishing, des points d’eau ou des logiciels cheval de Troie.
Cibler les pirates avec des logiciels malveillants
Dans une nouvelle campagne de distribution de logiciels malveillants BitRAT découverte par des chercheurs d’AhnLab, les acteurs de la menace distribuent le logiciel malveillant en tant qu’activateur de licence Windows 10 Pro sur les webhards.
Les Webhards sont des services de stockage en ligne populaires en Corée du Sud qui reçoivent un afflux constant de visiteurs à partir de liens de téléchargement direct publiés sur les plateformes de médias sociaux ou Discord. En raison de leur large utilisation dans la région, les acteurs de la menace utilisent désormais plus couramment les webhards pour distribuer des logiciels malveillants.
L’acteur derrière la nouvelle campagne BitRAT semble être coréen sur la base de certains des caractères coréens dans les extraits de code et de la manière de sa distribution.
Pour utiliser correctement Windows 10, vous devez acheter et activer une licence auprès de Microsoft. Bien qu’il existe des moyens d’obtenir Windows 10 gratuitement, vous avez toujours besoin d’une licence Windows 7 valide pour obtenir la mise à niveau gratuite.
Ceux qui ne veulent pas gérer les problèmes de licence ou qui n’ont pas de licence pour mettre à niveau se tournent généralement vers le piratage de Windows 10 et l’utilisation d’activateurs non officiels, dont beaucoup contiennent des logiciels malveillants.
Dans cette campagne, le fichier malveillant promu en tant qu’activateur de Windows 10 est nommé « W10DigitalActiviation.exe » et comporte une simple interface graphique avec un bouton pour « Activer Windows 10 ».
Cependant, au lieu d’activer la licence Windows sur le système hôte, « l’activateur » téléchargera des logiciels malveillants à partir d’un serveur de commande et de contrôle codé en dur exploité par les acteurs de la menace.
La charge utile récupérée est BitRAT, installée dans %TEMP% en tant que « Software_Reporter_Tool.exe » et ajoutée au dossier de démarrage. Le téléchargeur ajoute également des exclusions pour Windows Defender afin de garantir que BitRAT ne rencontrera pas de problèmes de détection.
Une fois le processus d’installation du logiciel malveillant terminé, le téléchargeur se supprime du système, ne laissant derrière lui que BitRAT.
Un RAT polyvalent
BitRAT est présenté comme un logiciel malveillant puissant, peu coûteux et polyvalent qui peut arracher un large éventail d’informations précieuses à l’hôte, effectuer des attaques DDoS, contourner l’UAC, etc.
BitRAT prend en charge l’enregistrement de frappe générique, la surveillance du presse-papiers, l’accès à la webcam, l’enregistrement audio, le vol d’informations d’identification à partir des navigateurs Web et la fonctionnalité d’extraction de pièces XMRig.
De plus, il offre un contrôle à distance pour les systèmes Windows, un calcul de réseau virtuel caché (hVNC) et un proxy inverse via SOCKS4 et SOCKS5 (UDP). Sur ce front, Les analystes de l’ASEC ont trouvé de fortes similitudes de code avec TinyNuke et son dérivé, AveMaria (Warzone).
La fonctionnalité de bureau caché sur ces RAT est si précieuse que certains groupes de piratage, comme le Kimsuky, les ont incorporés dans leur arsenal juste pour utiliser l’outil hVNC.
Risque de piratage
Même si les aspects juridiques et éthiques sont ignorés, l’utilisation de logiciels piratés est toujours un pari sécuritaire.
Plus on utilise d’outils pour activer des copies de logiciels obtenues illégalement ou pour casser leurs systèmes de protection de la propriété intellectuelle, plus grandes sont les chances de se retrouver avec une infection malveillante malveillante.
Ceux qui n’ont pas les moyens d’acheter une licence Windows devraient plutôt envisager des options alternatives, telles que l’acceptation des limitations de la version gratuite, la surveillance des offres spéciales de plates-formes fiables ou l’utilisation de Linux.
En fin de compte, les utilisateurs ne doivent pas faire confiance aux activateurs de licence et à tout exécutable non signé créé et publié par des fournisseurs inconnus pour s’exécuter sur votre système.