BitRAT بدافزاری است که در دسته تروجانهای دسترسی از راه دور (Remote Access Trojans یا به اختصار، RATs) قرار میگیرد. اخیرا، بعضی از فعالسازهای غیر رسمی سیستم عامل ویندوز ۱۰ در آلوده کردن کامپیوترهای کاربران به BitRAT نقش دارند.
BitRAT به عنوان بدافزاری قوی، کم هزینه و سازشپذیر شناخته میشود که میتواند انواع مختلفی از دادههای حساس را از سیستم آلوده شده به سرقت ببرد، کنترل حساب کاربر (UAC) را دور بزند، حملات DDoS را اجرا کند و خیلی از اقدامات خرابکارانه دیگر را انجام دهد.
محققان AhnLAb گزارش دادهاند که بعضی از فعالسازهای لایسنس ویندوز ۱۰ پرو در Webhardها به بدافزار BitRAT آلوده شدهاند و استفاده از این فعالسازها میتواند منجر به آلوده شدن کامپیوترهای کاربران به BitRAT شود.
Webhardها از محبوبترین سرویسهای حافظه آنلاین در کره جنوبی هستند و بازدیدکنندگان زیادی دارند که از طریق لینکهای دانلود مستقیم پست شده در شبکههای اجتماعی، فایلهای مورد نیاز خودشان را از این سرویسها دانلود میکنند.
به دلیل اعتماد کاربران به Webhardها و استفاده گسترده از آنها در کره جنوبی، خیلی از هکرها برای انتشار بدافزارهای خود از این سرویسها استفاده میکنند.
به دلیل وجود کاراکترهایی به زبان کرهای در قطعات کد به کار رفته در بدافزار BitRAT توزیع شده در Webhardها و انتخاب این سرویسها برای توزیع بدافزار، به نظر میرسد که تیم طراح این کمپین انتشار بدافزار نیز کرهای باشند.
در این کمپین انتشار بدافزار، فایل W10DigitalActivation.exe نقش بدافزاری دارد که در پوشش فعالساز ویندوز ۱۰ پرو به سیستمهای کاربران نفوذ میکند. این بدافزار، GUI بسیار سادهای دارد و برای اجرای آن، کافی است که کاربر روی دکمه Activate Windows 10 کلیک کند.
نرمافزاری که در پوشش فعالساز ویندوز، بدافزار BitRAT را منتشر میکند، پس از دانلود و اجرا توسط کاربر، به جای فعال کردن ویندوز، بدافزار BitRAT را از سرور کنترل هکری هارد کد شده، دانلود میکند. این بدافزار بعد از دانلود شدن، تحت عنوان Software Reporter Tool.exe در فولدر %TEMP% نصب و به فولدر Startup ضمیمه میشود. نرمافزار دانلودکننده این بدافزار دارای قابلیت اعتمادسازی ویندوز دیفندر است تا مانع از شناسایی شدن BitRAT توسط سیستمهای دفاعی ویندوز شود.
پس از تکمیل فرایند نصب شدن بدافزار BitRAT روی سیستم، نرمافزار دانلود کننده خودش را از روی سیستم حذف میکند.
این بدافزار BitRAT دارای قابلیتهایی شامل لاگ کردن کیبورد (key logging)، مانیتورینگ کلیپبورد (clipboard monitoring)، دسترسی به دوربین، ضبط صدا، سرقت پول از طریق مرورگرهای وب و ماینینگ رمزارز XMRig است.
از دیگر ویژگیهای این بدافزار میتوان امکان کنترل از راه دور کامپیوترهای دارای سیستم عامل ویندوز، رایانش شبکه مجازی مخفی (hVNC) و پروکسی رزور SOCKS4 و SOCKS5 اشاره کرد.
واضح است که برای جلوگیری از آلوده شدن کامپیوتر خود به این بدافزار یا بدافزارهای دیگری که ممکن است در فعالسازهای غیر رسمی ویندوز وجود داشته باشند، باید همیشه فقط و فقط نسخههای رسمی سیستم عامل ویندوز و فعالسازهای آن را نصب کنید. خطرات مشابهی در مورد نسخههای کرک شده نرمافزارهای جانبی نیز وجود دارد و کار امن، درست و اخلاقی این است که فقط نسخههای رسمی نرمافزارها را روی کامپیوتر خودتان نصب کنید.
با این حال، به دلیل هزینههای بالای نسخههای رسمی ویندوز و نرمافزارهای جانبی، تحریمهای بانکی بینالمللی علیه جمهوری اسلامی و مشکلات خرید نسخههای رسمی نرمافزارهای خارجی و صد البته، پیروی نکردن جمهوری اسلامی از قانون کپی رایت بینالمللی، اکثریت کاربران در کشور ما از نسخههای غیر رسمی و کرک شده ویندوز و نرمافزارهای دیگر استفاده میکنند. بنابراین، شانس آلوده شدن کامپیوترهای کاربران ایرانی به این بدافزار BitRAT و بدافزارهای مشابه، بسیار زیاد است. اما اگر کامپیوتر شما نیز به این بدافزار آلوده شد، باید چکار کرد؟