Một chiến dịch phát tán mã độc BitRAT mới đang được tiến hành nhắm vào những người dùng muốn crack Windows bằng các phần mềm kích hoạt của bên thứ ba. BitRAT là một trojan truy cập từ xa nguy hiểm được rao bán trên các diễn đàn của hacker và dark web với mức giá tối thiểu là 20 USD cho quyền sử dụng suốt đời.
Do đó, mỗi kẻ mua quyền sử dụng lại có cách tiếp cận riêng về việc phân phối, từ lừa đảo, lợi dụng lỗ hổng bảo mật tới lạm dụng phần mềm cài trojan.
Nhắm vào những người thích crack phần mềm
Trong một chiến dịch phát tán BitRAT mới được các nhà nghiên cứu tại AhnLab phát hiện, hacker phân phối mã độc dưới dạng phần mềm kích hoạt bản quyền Windows 10 Pro trên webhards.
Webhards là một dịch vụ lưu trữ trực tuyến phổ biến tại Hàn Quốc với lượng người truy cập ổn định từ các liên kết tải xuống trực tiếp được đăng trên những mạng xã hội hoặc Discord. Do vậy, hacker đã tận dụng sự phổ biến của webhards để phán tán mã độc.
Dựa trên một số ký tự tiếng Hàn trong các đoạn code và cách phân phối có thể tạm thời suy đoán rằng hacker đứng đằng sau chiến dịch BitRAT mới là người Hàn Quốc.
Phần mềm độc hại được hacker đặt tên là W10DigitalActicting.exe và có giao diện khá đơn giản với chỉ một nút "Activate Windows 10". Tuy nhiên, thay vì kích hoạt bản quyền Windows 10 trên máy của nạn nhân, phần mềm này sẽ tải xuống một mã độc từ một máy chủ command and control được điều hành bởi hacker.
Mã độc được tải xuống chính là BitRAT và được cài đặt trong %TEMP% dưới dạng "Software_Reporter_Tool.exe" và được thêm vào thư mục Startup. Trình tải xuống cũng thêm các loại trừ trong Windows Defender để đảm bảo rằng BitRAT không bị phát hiện.
Sau khi hoàn tất quá trình cài đặt mã độc, trình tải xuống tự động xóa khỏi hệ thống chỉ để lại BitRAT.
Một mã độc RAT linh hoạt
BitRAT được quảng cáo là một mã độc mạnh mẽ, rẻ tiền và linh hoạt. Nó có thể đánh cắp các thông tin có giá trị từ máy của nạn nhân, thực hiện các cuộc tấn công DDoS, bỏ qua UAC...
BitRAT còn hỗ trợ keylog, giám sát clipboard, truy cập webcam, ghi âm, đánh cắp thông tin xác thực từ trình duyệt web và chức năng khai thác tiền ảo XMRig.
Ngoài ra, nó còn cung cấp khả năng điều khiển từ xa cho các hệ thống Windows, mạng máy tính ảo ẩn (hVNC) và đảo ngược proxy thông qua SOCKS4 và SOCKS5 (UDP). Về mặt này, các nhà phân tích của ASEC đã tìm thấy những điểm tương đồng giữa BitRAT và các mã độc như TinyNuke, AveMaria (Warzone).
Phần mềm crack, nguy cơ tiềm ẩn
Sử dụng các phần mềm lậu, crack sẽ khiến bạn có nhiều nguy cơ bị hacker tấn công. Càng cài nhiều công cụ để kích hoạt bản quyền phần mềm (crack phần mềm/game) thì nguy cơ bạn bị hack, bị cài mã độc vào máy, bị đánh cắp thông tin càng cao.