O malware BitRAT está infectando PCs com programas de ativação do Windows 10. A informação veio do site BleepingComputer, onde é dito que usuários que ativaram a versão pirata do sistema operacional Windows gratuitamente através de programas de ativação de licença, podem ter seus computadores infectados com o malware que captura diversas informações.

Para quem não conhece, o BitRAT é um trojan robusto que é vendido em fóruns de crimes cibernéticos e mercados da dark web por apenas US$ 20 para qualquer um que queira. O ataque pode do malware pode variar, funcionando como phishing, watering hole ou software trojanizado.

Você precisa ver: O que vem na atualização de março de 2022 (KB5011487) do Windows 10?

Ativador de licença do Windows 10 é distribuído com malware BitRAT

Pesquisadores do AhnLab relataram que está havendo uma nova ação de disseminação do malware BitRAT através de ativadores de licença do Windows 10 através de webhards. Para quem não conhece, webhards é um serviço de armazenamento online popular na Coreia do Sul, onde o usuário gera link de download direto para compartilhar em redes sociais ou Discord. Devido a sua ampla utilização na região, criminosos estão utilizando para distribuir o malware.

Devido às características mencionadas acima, acredita-se que o autor da disseminação do BitRAT seja coreano. Isso é reforçado mais ainda ao analisar trechos de código e na forma como a distribuição está ocorrendo.

Publicação promovendo o ativador do Windows com o malware BitRAT. Fonte: bleepingcomputer
Publicação promovendo o ativador do Windows com o malware BitRAT. Fonte: bleepingcomputer

Como funciona a infecção do PC através do ativador do Windows 10 com o malware BitRAT

Desta vez, o malware BitRAT foi incorporado no ativador do Windows 10 e é chamado de "W10DigitalActiviation.exe". A interface é simples e possui um botão para "Ativar o Windows 10". Entretanto, ao invés de ativar a licença do Windows, o "ativador" faz o download do malware através de um comando codificado pelo servidor operador pelos invasores.

Captura de tela mostrando o arquivo de ativação do Windows 10, responsável pelo download do malware BitRAT. Fonte: bleepingcomputer
Captura de tela mostrando o arquivo de ativação do Windows 10, responsável pelo download do malware BitRAT. Fonte: bleepingcomputer

Depois de realizar as etapas acima, o resultado é o arquivo BitRAT baixado e em seguida instalado em "%TEMP%" como 'Software_Reporter_Tool.exe' e adicionado à pasta de inicialização do sistema operacional. Além disso, são feitas exclusões para que o Windows Defender não encontre o BitRAT ao realizar a busca por ameaças.

Com o BitRAT instalado, o "ativador" se exclui do sistema e deixa apenas o BitRAT.

O ativador do Windows 10 buscando o arquivo do BitRAT. Fonte: bleepingcomputer
O "ativador" do Windows 10 buscando o arquivo do BitRAT. Fonte: bleepingcomputer
Fonte: BleepingComputer