תוכנת זדונית BitRAT עוקפת את Defender במסווה של כלי לאימות מפתח של Windows

מה צריכה להיות העדיפות מספר אחת בעת גישה לאינטרנט? אם ניחשתם משהו שקשור לקניות או למשחקים, עדיין לא הגעתם.

למעשה, האבטחה צריכה להיות בראש סדר העדיפויות שלנו כאשר אנו מתמודדים עם העולם המקוון המשתנה והמסוכן שאנו חיים בו כעת.

אולי תרצה לדעת את זה חברת חקר האבטחה ASEC גילתה מסע פרסום חדש של תוכנות זדוניות שמסווה את עצמו בצורה של כלי לאימות מפתח מוצר של Windows.

עם זאת, אל תלך שולל על ידי התחפושת הרשמית, מכיוון שהכלי הזה הוא למעשה תוכנה זדונית BitRAT או טרויאני גישה מרחוק.

תוכנת הפעלה של Windows יכולה להדביק ברצינות את המחשב האישי שלך

ASEC חשפה את העובדה שה-RAT המסוים הזה מופץ באמצעות Webhards שהם שירותי שיתוף קבצים מקוונים בקוריאה.

למרות שלעתים קרובות ידוע כי תוכנות פיראטיות ולא רשמיות מדביקות מכשירים בתוכנות זדוניות, אנשים נוטים לא להתייחס לאזהרות כאלה ברצינות.

מיותר לציין שזה דוחף יוצרי תוכנות זדוניות להגביר את המשחק שלהם ולשמור על זרימה מתמדת של תוכנות זדוניות שמגיעות להמונים.

כדי להסביר טוב יותר איך זה עובד, קובץ ה-zip שהורד W10DigitalActivation.exe מכיל את הקובץ המפחיד אך גם נושא קובץ הפעלה מקורי של Windows.

ה W10DigitalActivationככל הנראה קובץ _msi אמיתי ואילו השני W10DigitalActivation_Temp הקובץ הוא התוכנה הזדונית.

ברגע שמשתמש לא חושד מריץ את קובץ ה-exe, גם כלי האימות בפועל וגם קובץ התוכנה הזדונית מופעלים בו-זמנית.

כמובן, פעולה זו תיתן למשתמש האמור את הרושם שהכל עובד כמתוכנן ואין באמת שום דבר מפוקפק בכל העניין.

אז ה W10DigitalActivation_Temp.exe קובץ תוכנה זדונית ממשיך להוריד קבצים זדוניים נוספים משרת הפקודה והבקרה (C&C) ומעביר אותם בתוך תיקיית תוכנית האתחול של Windows באמצעות PowerShell.

לבסוף, BitRAT מותקן כקובץ Software_Reporter_Tool.exe בתוך התיקיה %temp% וב-Windows Defender.

נתיב ההחרגה של תיקיית ההפעלה ותהליך ההחרגה עבור ה-BitRAT נוספים גם, למקרה שתהיתם.

אתה יכול לברר פרטים נוספים על זה על ידי בדיקת הדו"ח הרשמי של ASEC. האם הורדת קובץ כזה ונאלצת להתמודד עם התוכנה הזדונית הזו?

הקפד לשתף אותנו בחוויה שלך בקטע ההערות הייעודי הממוקם ממש למטה.