ASEC는 이 특정 RAT가 한국의 온라인 파일 공유 서비스인 Webhards를 통해 배포되는 것을 발견했습니다. 해킹 및 불법 복제 소프트웨어는 맬웨어로 장치를 감염시키는 것으로 알려져 있지만 많은 사람들은 이러한 경고를 심각하게 받아들이지 않거나 정품 Windows 라이선스를 구입하지 못할 수 있습니다. 따라서 악성코드 제작자는 이러한 수단을 통해 악성코드를 지속적으로 생성하고 유포하고 있습니다.
이제 이 BitRAT의 작동 방식에 대해 이야기하면서 ASEC는 다운로드한 zip 파일 “W10DigitalActivation.exe”에 악성 파일이 포함되어 있지만 정품 Windows 정품 인증 파일도 포함되어 있다고 설명합니다. “W10DigitalActivation” MSI 파일은 실제처럼 보이지만 다른 “W10DigitalActivation_Temp” 파일은 멀웨어입니다(아래 이미지 참조).
순진한 사용자가 실행 파일을 실행하면 실제 검사기와 맬웨어 파일이 동시에 실행되어 사용자에게 Windows License Key Checker가 제대로 작동하고 있다는 인상을 줍니다.
그런 다음 악성 W10DigitalActivation_Temp.exe는 명령 및 제어(C&C) 서버에서 추가 악성 파일을 다운로드하고 PowerShell을 통해 Windows Launcher 폴더로 전달합니다. 마지막으로 BitRAT는 %temp% 폴더 안에 “Software_Reporter_Tool.exe” 파일로 설치되며, Windows Defender는 시작 폴더에 대한 제외 경로와 BitRAT에 대한 제외 프로세스를 추가합니다.
자세한 기술 정보는 블로그 원본 에서 찾을 수 있습니다 .
답글 남기기