انتشار بدافزار BitRAT در پوشش فعال‌ساز ویندوز 10

انتشار بدافزار BitRAT در پوشش فعال‌ساز ویندوز 10

بدافزار BitRAT با استفاده از فعال‌ساز‌های ویندوز ۱۰، کامپیوترهای کاربران را آلوده می‌کند

BitRAT بدافزاری است که در دسته تروجان‌های دسترسی از راه دور (Remote Access Trojans یا به اختصار، RATs) قرار می‌گیرد. اخیرا، بعضی از فعال‌سازهای غیر رسمی سیستم عامل ویندوز ۱۰ در آلوده کردن کامپیوترهای کاربران به BitRAT نقش دارند.

BitRAT به عنوان بدافزاری قوی، کم هزینه و سازش‌پذیر شناخته می‌شود که می‌تواند انواع مختلفی از داده‌های حساس را از سیستم آلوده شده به سرقت ببرد، کنترل حساب کاربر (UAC) را دور بزند، حملات DDoS را اجرا کند و خیلی از اقدامات خرابکارانه دیگر را انجام دهد.

 

انتشار بدافزار BitRAT در پوشش فعال‌سازهای ویندوز ۱۰

محققان AhnLAb گزارش داده‌اند که بعضی از فعال‌سازهای لایسنس ویندوز ۱۰ پرو در Webhardها به بدافزار BitRAT آلوده شده‌اند و استفاده از این فعال‌سازها می‌تواند منجر به آلوده شدن کامپیوترهای کاربران به BitRAT شود.

Webhardها از محبوب‌ترین سرویس‌های حافظه آنلاین در کره جنوبی هستند و بازدیدکنندگان زیادی دارند که از طریق لینک‌های دانلود مستقیم پست شده در شبکه‌های اجتماعی، فایل‌های مورد نیاز خودشان را از این سرویس‌ها دانلود می‌کنند.

به دلیل اعتماد کاربران به Webhardها و استفاده گسترده از آن‌ها در کره جنوبی، خیلی از هکرها برای انتشار بدافزارهای خود از این سرویس‌ها استفاده می‌کنند.

به دلیل وجود کاراکترهایی به زبان کره‌ای در قطعات کد به کار رفته در بدافزار BitRAT توزیع شده در Webhardها و انتخاب این سرویس‌ها برای توزیع بدافزار، به نظر می‌رسد که تیم طراح این کمپین انتشار بدافزار نیز کره‌ای باشند.

در این کمپین انتشار بدافزار، فایل W10DigitalActivation.exe نقش بدافزاری دارد که در پوشش فعال‌ساز ویندوز ۱۰ پرو به سیستم‌های کاربران نفوذ می‌کند. این بدافزار، GUI بسیار ساده‌ای دارد و برای اجرای آن، کافی است که کاربر روی دکمه Activate Windows 10 کلیک کند.

windows 10

 

بدافزار BitRAT چطور کار می‌کند؟

نرم‌‌افزاری که در پوشش فعال‌ساز ویندوز، بدافزار BitRAT را منتشر می‌کند، پس از دانلود و اجرا توسط کاربر، به جای فعال کردن ویندوز، بدافزار BitRAT را از سرور کنترل هکری هارد کد شده، دانلود می‌کند. این بدافزار بعد از دانلود شدن، تحت عنوان Software Reporter Tool.exe در فولدر %TEMP% نصب و به فولدر Startup ضمیمه می‌شود. نرم‌افزار دانلودکننده این بدافزار دارای قابلیت اعتمادسازی ویندوز دیفندر است تا مانع از شناسایی شدن BitRAT توسط سیستم‌های دفاعی ویندوز شود.

پس از تکمیل فرایند نصب شدن بدافزار BitRAT روی سیستم، نرم‌افزار دانلود کننده خودش را از روی سیستم حذف می‌کند.

این بدافزار BitRAT دارای قابلیت‌هایی شامل لاگ کردن کیبورد (key logging)، مانیتورینگ کلیپ‌بورد (clipboard monitoring)، دسترسی به دوربین، ضبط صدا، سرقت پول از طریق مرورگرهای وب و ماینینگ رمزارز XMRig است.

از دیگر ویژگی‌های این بدافزار می‌توان امکان کنترل از راه دور کامپیوترهای دارای سیستم عامل ویندوز، رایانش شبکه مجازی مخفی (hVNC) و پروکسی رزور SOCKS4 و SOCKS5 اشاره کرد.

 

پیشگیری و پاکسازی

واضح است که برای جلوگیری از آلوده شدن کامپیوتر خود به این بدافزار یا بدافزارهای دیگری که ممکن است در فعال‌سازهای غیر رسمی ویندوز وجود داشته باشند، باید همیشه فقط و فقط نسخه‌های رسمی سیستم عامل ویندوز و فعال‌سازهای آن را نصب کنید. خطرات مشابهی در مورد نسخه‌های کرک شده نرم‌افزارهای جانبی نیز وجود دارد و کار امن، درست و اخلاقی این است که فقط نسخه‌های رسمی نرم‌افزارها را روی کامپیوتر خودتان نصب کنید.

با این حال، به دلیل هزینه‌های بالای نسخه‌های رسمی ویندوز و نرم‌افزارهای جانبی، تحریم‌های بانکی بین‌المللی علیه جمهوری اسلامی و مشکلات خرید نسخه‌های رسمی نرم‌افزارهای خارجی و صد البته، پیروی نکردن جمهوری اسلامی از قانون کپی رایت بین‌المللی، اکثریت کاربران در کشور ما از نسخه‌های غیر رسمی و کرک شده ویندوز و نرم‌افزارهای دیگر استفاده می‌کنند. بنابراین، شانس آلوده شدن کامپیوترهای کاربران ایرانی به این بدافزار BitRAT و بدافزارهای مشابه، بسیار زیاد است. اما اگر کامپیوتر شما نیز به این بدافزار آلوده شد، باید چکار کرد؟

  • نرم‌افزار Autoruns را دانلود کنید. این نرم‌افزار، اپلیکیشن‌هایی را که به صورت خود به خودی اجرا می‌شوند، رجیستری و موقعیت فایل‌سیستم‌ها را به شما نشان می‌دهد. برای دانلود این نرم‌افزار می‌توانید به لینک مقابل، مراجعه کنید: https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
  • کامپیوتر خودتان را در حالت ایمن (Safe Mode) ری‌استارت کنید.
  • فایل آرشیو دانلود شده را از حالت فشرده خارج و فایل Autoruns.exe را اجرا کنید.
  • در اپلیکیشن Autoruns، روی گزینه Options در قسمت بالای رابط کاربری کلیک کرده و تیک گزینه‌های Hide Empty Locations و Hide Windows Entries را بردارید. سپس، روی آیکون Refresh کلیک کنید.
  • فهرستی را که توسط اپلیکیشن Autoruns نمایش داده می‌شود را بررسی کنید. در صورتی که سیستم شما به بدافزار BitRAT آلوده شده باشد، می‌توانید آن را در این فهرست پیدا کنید.
  • موقعیت فایل بدافزار را در Autoruns وارد کنید. شما باید آدرس و نام فایل را به طور دقیق بنویسید. دقت داشته باشید که بعضی از بدافزارها، دارای نام‌هایی مشابه با نام‌های فایل‌های سیستمی دارند. باید مراقب باشید که اشتباها فایل‌های سیستمی را حذف نکنید. بعد از پیدا کردن فایل مشکوک، روی آن راست کلیک کرده و گزینه Delete را انتخاب کنید.
  • پس از پاک کردن بدافزار به وسیله نرم‌افزار Autoruns و مطمئن شدن از اینکه این بدافزار در استارت‌آپ بعدی، به صورت خودکار اجرا نمی‌شود، باید فایل بدافزار را از روی کامپیوتر خودتان پاک کنید. پیش از این کار باید فایل‌ها و فولدرهای مخفی را از حالت مخفی خارج کنید. پس از پیدا کردن فایل بدافزار، آن را حذف کنید.
  • کامپیوتر خود را ری‌استارت کنید.
تاریخ انتشار: 1401/01/24
تاریخ بروزرسانی: 1401/12/10
برچسب‌های مرتبط
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.