La société de recherche en sécurité ASEC a découvert une nouvelle campagne de logiciels malveillants qui se fait passer pour l’outil de vérification de clé de produit Windows. Et sous cette apparence, cet outil est en fait BitRAT, ou un cheval de Troie d’accès à distance.
L’ASEC a découvert que ce RAT particulier est distribué via Webhards, qui sont des services de partage de fichiers en ligne en Corée. Bien que les logiciels piratés et piratés soient connus pour infecter les appareils avec des logiciels malveillants, de nombreuses personnes ont tendance à ne pas prendre ces avertissements au sérieux, ou elles peuvent ne pas être en mesure de se permettre des licences Windows authentiques. Ainsi, les producteurs de logiciels malveillants continuent de créer et de distribuer des logiciels malveillants par ces moyens.
Maintenant, parlant du fonctionnement de ce BitRAT, l’ASEC explique que le fichier zip téléchargé « W10DigitalActivation.exe » contient un fichier malveillant, mais contient également un véritable fichier d’activation de Windows. Le fichier MSI « W10DigitalActivation » semble être réel, tandis que l’autre fichier « W10DigitalActivation_Temp » est un logiciel malveillant (voir l’image ci-dessous).
Lorsqu’un utilisateur sans méfiance exécute un exécutable, le vérificateur réel et le fichier malveillant s’exécutent en même temps, donnant à l’utilisateur l’impression que le vérificateur de clé de licence Windows fonctionne correctement.
Le W10DigitalActivation_Temp.exe malveillant télécharge ensuite des fichiers malveillants supplémentaires à partir du serveur de commande et de contrôle (C&C) et les transmet au dossier Windows Launcher via PowerShell. Enfin, BitRAT est installé en tant que fichier « Software_Reporter_Tool.exe » dans le dossier % temp%, et Windows Defender ajoute un chemin d’exclusion pour le dossier de démarrage et un processus d’exclusion pour BitRAT.
Vous pouvez trouver plus de détails techniques dans le billet de blog d’origine .
Laisser un commentaire