Das Sicherheitsforschungsunternehmen ASEC hat eine neue Malware-Kampagne entdeckt, die sich als Windows Product Key Verification Tool ausgibt. Und unter diesem Deckmantel ist dieses Tool tatsächlich BitRAT oder ein Trojaner für den Fernzugriff.
ASEC hat herausgefunden, dass diese spezielle RAT über Webhards vertrieben wird, die Online-Filesharing-Dienste in Korea sind. Obwohl bekannt ist, dass gehackte und raubkopierte Software Geräte mit Malware infiziert, neigen viele Menschen dazu, solche Warnungen nicht ernst zu nehmen, oder sie können sich möglicherweise keine echten Windows-Lizenzen leisten. Daher erstellen und verbreiten Malware-Hersteller weiterhin Malware über solche Mittel.
Nun zur Funktionsweise dieser BitRAT erklärt ASEC, dass die heruntergeladene ZIP-Datei „W10DigitalActivation.exe“ eine bösartige Datei, aber auch eine echte Windows-Aktivierungsdatei enthält. Die MSI-Datei „W10DigitalActivation“ scheint echt zu sein, während die andere Datei „W10DigitalActivation_Temp“ Malware ist (siehe Abbildung unten).
Wenn ein ahnungsloser Benutzer eine ausführbare Datei ausführt, werden sowohl der eigentliche Prüfer als auch die Malware-Datei gleichzeitig ausgeführt, was dem Benutzer den Eindruck vermittelt, dass der Windows License Key Checker ordnungsgemäß funktioniert.
Die bösartige W10DigitalActivation_Temp.exe lädt dann weitere bösartige Dateien vom Command and Control (C&C)-Server herunter und übermittelt sie über PowerShell an den Windows Launcher-Ordner. Schließlich wird BitRAT als „Software_Reporter_Tool.exe“-Datei im Ordner „%temp%“ installiert, und Windows Defender fügt einen Ausschlusspfad für den Startordner und einen Ausschlussprozess für BitRAT hinzu.
Weitere technische Details finden Sie im ursprünglichen Blogbeitrag .
Schreibe einen Kommentar