海賊版で広がるBitRAT
BitRATは名前の通りRAT(Remote Access Trojan)です。
有用なソフトウェアやファイルに見せかけて標的の利用者に実行を促し、気付かれないようにシステム内に不正なプログラムなどを導入するトロイの木馬のように動作するマルウェアで、ネットワーク越しに感染端末を操作することができます。
BitRATもそういった機能を搭載しています。
BitRATそのものは2020年8月から観測されていますが、今回そのBitRATの新しいキャンペーンが確認されています。
普通は有償のソフトウェアを使用する場合はそれを購入して使用します。
ハードウェアとセットで購入することもあるでしょうし、ソフトウェア単体で購入することもあると思います。
しかし悪いことを考える人はいるもので、海賊版というものがあります。
海賊版は、そのソフトウェアを正規でない方法で有効化してしまったものです。
ライセンスの制限を解除したソフトウェアとして配布されることもありますし、ライセンス認証を不正に実行できるツールとして配布されることもあります。
そんな感じで海賊版は少なからずあちこちに存在しているのですが、そのなかの新しいものの中にBitRATが確認されています。
こんな感じで感染は進行します。
- 不正にWindows10を使用したい人がWindows10の海賊版を探す
- 有名な掲示板でWindows10の海賊版に関するスレッドを見つける
- スレッドを読むとWindows10ライセンス認証ツールが配布されていることがわかる
- 海賊版のツールが含まれていると思われるzipをダウンロードする
- zipはパスワード保護されている
- zipのなかにはW10DigitalActivation.exeがある
これは7z SFX ファイル形式の実行ファイルです。
7z SFX ファイルは実行するとアーカイブされたファイルを展開し、展開したファイルを自動的に実行するように動作させることができます。 - W10DigitalActivation.exeは2つのソフトウェアを自動的にインストールする
ひとつは実際の認証ツールで、もうひとつはマルウェア(今回はBitRAT)のダウンローダーです。
認証ツールは実際にWindows10のアクティベーションを実行するため、入手した人は期待した内容が実現された感じがします。
しかしそれと同時にマルウェアもインストールされます。 - マルウェアダウンローダーはマルウェアをインストールして自動的に消滅する
インストールされるマルウェアは次の段階のマルウェアダウンローダーです。 - ダウンローダーは検出回避処理を実施する
最終的に使用するマルウェアをインストールする前に、そのインストール先のPATHをWindows Defenderの例外PATHに設定します。
マルウェアのプロセス名を例外プロセスに登録したりもします。
そのようにして下地を整えた後、マルウェアをインストールします。 - BitRATは高機能
最初の感染が確認されたのが2020年なので、長い時間が経過しています。
そしてその時間経過の中で多くの機能が実装されています。
暗号化通信機能(TLS1.2での暗号化、Torでの通信)、プロセスタスク/サービスタスク/ファイルタスク/リモートコマンドの実行、キーロガー、クリップボードロガー、Webカメラロガー、オーディオロガー、Web ブラウザのようなアプリケーションのアカウント情報窃取、普通のリモートデスクトップ、hVNC (Hidden Desktop)、コインマイニング、プロキシ、DDoS攻撃機能、User Account Controlのバイパス(これがあれば特権昇格しても警告は表示されません)、Windows Defender の無効化、などです。
まさしく全部入りです。
BitRATなどのマルウェアはいろいろな感染経路が用意されています。
その感染経路が新たに確認されたというところです。
いろいろな経路がありそうなので一概には言えませんが、このケースのような怪しい取り組みをしようとしなければ感染してしまう危険性はある程度低く抑えることができるかもしれません。
まっとうに暮らしていくのがよいということですね。
参考記事(外部リンク):Windows ライセンス認証ツールに偽装して拡散している BitRAT マルウェア
asec.ahnlab.com/jp/32753/
