El famoso malware BitRAT está de regreso, y se está dirigiendo activamente a los usuarios que buscan activadores de licencias de Windows no oficiales. Estos activadores de licencia tienen como fin activar versiones pirateadas del sistema operativo Windows. Investigadores de AhnLab han detectado una campaña de phishing que difunde activadores de licencias de Windows 10 […]
El famoso malware BitRAT está de regreso, y se está dirigiendo activamente a los usuarios que buscan activadores de licencias de Windows no oficiales.
Estos activadores de licencia tienen como fin activar versiones pirateadas del sistema operativo Windows.
Investigadores de AhnLab han detectado una campaña de phishing que difunde activadores de licencias de Windows 10 Pro en webhard. Pero en realidad, estos activadores son maliciosos y están cargados con el malware BitRAT.
El archivo malicioso, anunciado como un activador de Windows 10 llamado ‘W10DigitalActivation.exe’, viene con una GUI simple con un botón para activar Windows 10. En lugar de la activación de Windows, esto descargará el malware de C2.
Una vez que se instala el malware, el descargador se elimina del sistema infectado y deja solo BitRAT.
Los actores de amenazas detrás de la campaña parecen tener su sede en Corea. Esto se sospecha sobre la base de la forma de distribución y la presencia de algunos caracteres coreanos en los fragmentos de código.
BitRAT se anuncia como un malware potente, versátil y económico que puede robar información valiosa del host. Además, la RAT puede realizar ataques DDoS y omitir UAC.
BitRAT admite el registro de teclas genérico, la grabación de audio, la supervisión del portapapeles, el robo de credenciales de navegadores web, el acceso a la cámara web, minería de monedas XMRig y varias funciones adicionales.
Además, ofrece informática de red virtual oculta (hVNC), control remoto para sistemas Windows y una función de proxy inverso que utiliza SOCKS4 y SOCKS5 (UDP).
Los investigadores han descubierto fuertes similitudes de código con TinyNuke y AveMaria (Warzone). Además, grupos de piratas informáticos como Kimsuky utilizaron la función de escritorio oculto de esta RAT para utilizar herramientas hVNC.
La conclusión es más que clara, evita utilizar software pirata, siempre termina mal.
