ASEC descubrió que esta RAT en particular se distribuye a través de Webhards, que son servicios de intercambio de archivos en línea en Corea. Aunque se sabe que el software pirateado infecta los dispositivos con malware, muchas personas tienden a no tomarse en serio estas advertencias o es posible que no puedan pagar las licencias originales de Windows. Por lo tanto, los productores de malware continúan creando y distribuyendo malware a través de dichos medios.
Ahora, hablando de cómo funciona este BitRAT, ASEC explica que el archivo zip descargado «W10DigitalActivation.exe» contiene un archivo malicioso, pero también contiene un archivo de activación de Windows original. El archivo MSI «W10DigitalActivation» parece ser real, mientras que el otro archivo «W10DigitalActivation_Temp» es malware (vea la imagen a continuación).
Cuando un usuario desprevenido ejecuta un ejecutable, tanto el verificador real como el archivo de malware se ejecutan al mismo tiempo, dando al usuario la impresión de que el Verificador de clave de licencia de Windows funciona correctamente.
El W10DigitalActivation_Temp.exe malicioso luego descarga archivos maliciosos adicionales del servidor de Comando y Control (C&C) y los envía a la carpeta del Iniciador de Windows a través de PowerShell. Finalmente, BitRAT se instala como un archivo «Software_Reporter_Tool.exe» dentro de la carpeta %temp%, y Windows Defender agrega una ruta de exclusión para la carpeta de inicio y un proceso de exclusión para BitRAT.
Puede encontrar más detalles técnicos en la publicación original del blog .
Deja una respuesta