Nova verzija zlonamjernog softvera AsyncRAT – HotRat

AUTOR ·

Nova verzija zlonamjernog softvera AsyncRATHotRat je primijećena od strane sigurnosnih istraživača kako se širi preko piratskog softvera i alatki kao što video igre, softveri za uređivanje slika i video materijala i Microsoft Office paketa.

HotRat

Nova verzija zlonamjernog softvera AsyncRAT – HotRat; Source: Bing Image Creator

Distribucija preko piratskog softvera

Uprkos značajnim rizicima koji su uključeni, neodoljivo iskušenje da se besplatno nabavi softver visokog kvaliteta i dalje postoji, što mnoge ljude navodi da preuzimaju nelegalni softver. Stoga, distribucija takvog softvera ostaje efikasan metod za široko širenje zlonamjernog softvera. Sve više analiza otkriva da krekovani softver često sadrži skrivene skripte koje isporučuju zlonamjerni softver napadača na računare žrtava, a ponekad čak i sam sadrži dodatni zlonamjerni softver.

 

HotRat zlonamjerni softver

Napadači kombinuju krekovani softver dostupan na torrent Internet stranicama sa zlonamjernom AutoHotkey (AHK) skriptom. Ova skripta pokreće novu varijantu AsincRAT zlonamjernog softvera koji je nazvan HotRat. Međutim, iako je prvi korak procesa postavljanja zahteva administrativna prava, a zloupotrebljeni  softver često podrazumijevano zahtijevaju visoke privilegije, to korisnici ne smatraju sumnjivim zahtev za dodatnim dozvolama. Još više, proces postavljanja kompromituje bezbjednost sistema tako što onemogućava antivirusnu zaštitu pre instaliranja HotRat zlonamjernog softvera na uređaj korisnika.

HotRat zlonamjerni softver je označen kao kao sveobuhvatni trojanski program za daljinski pristup (RAT) koji sadrži skoro 20 komandi. Svaka komanda izvršava .NET modul primljen sa udaljenog servera, omogućavajući zlonamjernim napadačima da po potrebi unaprijede njegove mogućnosti.

Ovaj zlonamjerni softver napadačima pruža širok spektar mogućnosti, kao što su krađa korisničkih naloga za prijavu, novčanika za kriptovalute, snimanje ekrana, snimanje aktivnosti unosa korisnika na uređaju, instaliranje više zlonamjernih softvera i dobijanje pristupa ili izmjena podataka međumemorije.

“Uprkos značajnim rizicima koji su uključeni, neodoljivo iskušenje da se besplatno nabavi softver visokog kvaliteta i dalje postoji, što mnoge ljude navodi da preuzimaju nelegalni softver. Stoga, distribucija takvog softvera ostaje efikasan metod za rasprostranjeno širenje zlonamjernog softvera.”

Sigurnosni istraživač Martin a Milánek, Avast

 

HotRat distribucija

Značajan uticaj na distribuciju ovog zlonamjenrog softvera ima zloupotreba popularnih softverskih brendova, uključujući Adobe i Microsoft proizvode, kao i video igre kao što su Battlefield 3, Age of Empires IV, Red Alert 2 i The Sims 4. Čak i softverski alati koji su u širokoj upotrebi kao što je CCleaner su iskorišteni za širenje HotRat zlonamjernog softvera kroz ilegalnu kopiju proizvoda.

Distribucija se još odvija preko različitih javnih skladišta, sa vezama koje se distribuiraju na društvenim mrežama, forumima i torrent stranicama. Pored toga, zlonamjerni softver koristi besplatne DNS servere, pri čemu su portovi klijenata različiti za svaki DNS zapis, što je veoma izazovna situacija prilikom praćenja konačnih IP adresa komandnih i kontrolnih (C2) servera.

 

Infekcija

Infekcija korisnika se odvija kroz nekoliko faza, a počinje podešavanjem u krekovanom softveru čija je jedina funkcija da pokrene zlonamjernu skriptu AutoHotkey. Skripta prvo pokreće originalno podešavanje pratizovanog softvera, pružajući iluziju normalnog procesa instalacije. Međutim, pokreće se i PowerShell skripta koja istovremeno ima cilj da uz stalno izvršavanje oslabi bezbjednost uređaja tako što će isključiti administratorske upite za saglasnost, omogućiti operacije koje zahtijevaju više privilegije bez upita za saglasnost ili unosa lozinke i izmijeniti Windows Defender podešavanja.

Pretposlednja operacija u okviru izvršavanja ove skripte uključuje aktivaciju .NET aplikacije za izdvajanje koja raspakuje zlonamjerne datoteke – uključujući konačnu HotRat datoteku i datoteke podrške – u fasciklu predviđenu za uporište na uređaju.

.NET aplikacije za izdvajanje ima još jednu ključnu funkciju osim samo raspakivanja zlonamjernih datoteka. Autori zlonamjernog softvera su ugradili mehanizma pomoću kojeg pokušavaju da otkriju najčešće korišćeni antivirusni softver i onda pokušavaju da ih onemoguće pomoću IObit Unlocker softvera koristeći jednostavnu komandu za uklanjanje fascikli otkrivenog antivirusnog softvera.

 

Lista u nastavku obuhvata softver koji su najčešće krekovani i zloupotrebljeni od strane napadača koji koriste HotRat zlonamjerni softver:

  • Adobe Illustrator 2023 v27.1.0.189 (x64) Pre-Multilingual Pre-Activated
  • Adobe Master Collection CC 2022 v25.08.2022 (x64) Multilingual Pre-Activated
  • Adobe Photoshop 2021 v22.0.0.35 (x64) Multilingual (Pre-Activated)
  • Advanced System Care 16.1.0.106
  • Age of Empires IV Digital Deluxe Edition
  • Allavsoft Video Downloader Converter 3.25.3.8409 + keygen
  • Battlefield 3 Premium Edition + all DLC
  • CCleaner (All Editions) 6.08.10255 (x64) + Patch
  • Command & Conquer Red Alert 2 [ 3.3.1 direct play portable]
  • CyberLink Screen Recorder Deluxe 4.3.1.25422
  • Disk Drill Enterprise v50734
  • EaseUS Data Recovery Wizard Technician v15.8.1.0 Build 20221128 + Fix {Cracks}
  • Far Cry 4 gold edition – v1.10 + all dlcs
  • IDM 6.41 build 4 incl Patch 3.12.2022 [CrackingPatching]
  • IObit Driver Booster Pro v10.2.0.110 + Fix {Crack
  • IObit Uninstaller Pro v12.3.0.8 + Fix {CracksHash}
  • KMSpico 10.1.8 FINAL + Portable (Office and Windows 10 Activator)
  • Microsoft Office 2022 LTSC v3109(x64) Pre-Cracked [CrackingPatching]
  • Microsoft Office Professional Plus 2021 v2108 Build 14326.20144 (x86+x64) Incl. Activator
  • Nitro Pro Enterprise v13.70.2.40 (x64) + Fix {Crack}
  • PlayerFab v7.0.3.1 (x64) + Fix Crack
  • Proxima Photo Manager Pro 4.0 Release 7 Multilingual
  • ResumeMaker Professional Deluxe v20.2.0.4060 Pre-Cracked Crack
  • Revo Uninstaller Pro 5.0.8 Multilanguage
  • ScreenRecorder_4.3.1.25422_Deluxe
  • SkylumLuminarNeo1.6.1(10826)x64Sky
  • Sniper Elite 4 Deluxe Edition v1.5.0 All DLCs Multiplayer Dedicated Server
  • The Sims 4 (v1.94.147.1030 & ALL DLC’s)
  • Tiktok 18+ Plus PC Download (Latest Version) V1.3.5 For Pc
  • Topaz Video AI v3.0.5 (x64) + Fix {Crack}
  • Vmware Workstation pro v17.0.1 build 21139696 (x64) + fix {crackshash}
  • Wondershare Filmora X 3.0.6.3 (x64) Multilingual
  • Wondershare UniConverter v14.1.9.124 (x64) + Fix Crack

 

Zaštita

Izvještaji vezani za korištenje HotRat naglašavaju važnost izbjegavanja neovlaštenog preuzimanja softvera i naglašava ogromne rizike vezane za ove radnje, uključujući višestruke infekcije zlonamjernim softverom i potencijalno curenje osjetljivih informacija. Korisnicima se savjetuje:

  • Da ne koriste piratski softver, opasno je i protivzakonito.
  • Aplikacije za instalaciju preuzimati isključivo sa službenih stranica proizvođača.
  • Omoguće automatsko ažuriranje softvera
  • Korisnici bi trebalo da koriste neko od provjerenih antivirusnih sigurnosnih riješenja.
  • Korisnici treba da budu oprezni kada rukuju prilozima elektronske pošte, posjećuju. sumnjive Internet lokacije ili preuzimaju datoteke iz nepouzdanih izvora.

 

Zaključak

Uprkos poznatim opasnostima, uporni trend softverske piraterije izlaže korisnike potencijalnim infekcijama zlonamjernom softveru. Nagli porast aktivnosti zlonamjernog softvera gdje je ilegalni softver bio u paketu sa zlonamjernom AutoHotkey skriptom koja pokreće HotRat zlonamjerni softver na računarima žrtava jasno ukazuje na ovu opasnost, gdje se distribucija ovog zlonamjernog softvera odvija preko javnih skladišta, sa linkovima koji se šire na društvenim mrežama i forumima.

HotRat zlonamjerni softver je napredna AsyncRAT verzija, naoružana mnoštvom mogućnosti za špijuniranje i krađu ličnih podataka. Proces isporuke pokazuje mnoge metode izbjegavanja detekcije od strane sigurnosnih mehanizama i njihovo onesposobljavanje, a pored toga ovaj zlonamjerni softver pokazuje upornost koristeći planirane zadatke, koji mu omogućavaju da zadrži uporište na zaraženim sistemima. Takođe može da eliminiše antivirusne programe i tako ugrozi opštu bezbjednost sistema. Kombinacija jednostavne infekcije uređaja i uklanjanja antivirusnog softvera naglašava potencijal prijetnje koje predstavlja ovaj zlonamjerni softver.

Veoma je važno ponovo naglasiti opasnost prilikom preuzimanja sumnjivog softvera iz neprovjerenih izvora, posebno onih koji zahtijevaju deaktivaciju antivirusnih programa, jer sigurnosni softveri mogu pomoći u suzbijanju rizika od infekcija zlonamjernim softverom i krađe podataka.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.