Cuidado: Este Windows Key Checker é na verdade um BitRAT mortal que ignora o Defender.

Cuidado: Este Windows Key Checker é na verdade um BitRAT mortal que ignora o Defender.

A empresa de pesquisa de segurança ASEC descobriu uma nova campanha de malware que se disfarça como a Ferramenta de Verificação de Chave de Produto do Windows. E sob esse disfarce, esta ferramenta é na verdade BitRAT, ou um trojan de acesso remoto.

A ASEC descobriu que esse RAT em particular é distribuído por meio de Webhards, que são serviços de compartilhamento de arquivos online na Coréia. Embora o software hackeado e pirateado seja conhecido por infectar dispositivos com malware, muitas pessoas tendem a não levar esses avisos a sério ou podem não conseguir comprar licenças genuínas do Windows. Assim, os produtores de malware continuam a criar e distribuir malware por esses meios.

Agora, falando sobre como esse BitRAT funciona, a ASEC explica que o arquivo zip baixado “W10DigitalActivation.exe” contém um arquivo malicioso, mas também contém um arquivo de ativação genuíno do Windows. O arquivo MSI “W10DigitalActivation” parece ser real, enquanto o outro arquivo “W10DigitalActivation_Temp” é malware (veja a imagem abaixo).

Quando um usuário desavisado executa um executável, o verificador real e o arquivo de malware são executados ao mesmo tempo, dando ao usuário a impressão de que o Verificador de chave de licença do Windows está funcionando corretamente.

O W10DigitalActivation_Temp.exe malicioso baixa arquivos maliciosos adicionais do servidor de Comando e Controle (C&C) e os entrega à pasta do Windows Launcher por meio do PowerShell. Por fim, o BitRAT é instalado como um arquivo “Software_Reporter_Tool.exe” dentro da pasta %temp% e o Windows Defender adiciona um caminho de exclusão para a pasta de inicialização e um processo de exclusão para o BitRAT.

Você pode encontrar mais detalhes técnicos na postagem original do blog .

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *