Click here and choose your language using Google's translation bar at the top of this page ↑
Ondanks de aanzienlijke risico's blijft de onweerstaanbare verleiding om hoogwaardige software kosteloos te verkrijgen bestaan, wat veel mensen ertoe leidt illegale software te downloaden. Daarom blijft het verspreiden van dergelijke software een effectieve methode voor het wijdverspreid verspreiden van malware. Deze analyse onthult dat gekraakte software vaak verborgen scripts bevat die de malware van aanvallers op de computers van slachtoffers implementeren, soms zelfs met aanvullende malware.
Het Gebruik van AutoHotkey Script
Onze focus ligt op het onderzoeken van het gebruik van een AutoHotkey-script dat is gekoppeld aan vooraf gehackte software. Dit script activeert de release van een variant van AsyncRAT-malware die we HotRat hebben genoemd. De eerste stap van het implementatieproces vereist echter beheerdersrechten. Aangezien misbruikte software vaak standaard hoge privileges vereist, vinden slachtoffers het verzoek om extra rechten niet verdacht. Bovendien compromitteert het implementatieproces de systeembeveiliging door antivirusbeschermingen uit te schakelen voordat HotRat op de machine van het slachtoffer wordt geïnstalleerd.
De Mogelijkheden van HotRat Malware
HotRat-malware voorziet aanvallers van een breed scala aan mogelijkheden, zoals het stelen van inloggegevens, cryptocurrency wallets, schermafbeeldingen maken, keylogging, het installeren van meer malware, en toegang krijgen tot of het wijzigen van klembordgegevens. Ons onderzoek benadrukt het belang van het vermijden van ongeautoriseerde software downloads en benadrukt de enorme risico's die aan deze acties zijn verbonden, waaronder meerdere malware-infecties en het mogelijke lekken van gevoelige informatie. We adviseren om software te verkrijgen van legitieme en goedgekeurde aanbieders, omdat dit veiligheid, legaliteit en continue ondersteuning garandeert. Gebruikers moeten ook systeembeveiligingsmaatregelen, zoals antivirusprogramma's, handhaven om zich te beschermen tegen deze evoluerende cyberdreigingen.
Wapening en Levering
Dreigingsactoren grijpen scheuren die online beschikbaar zijn via torrent sites of verdachte webpagina's, en ze maken een kwaadaardig AutoHotkey-script, dat ze omzetten in een uitvoerbaar bestand dat hetzelfde pictogram draagt als de gekaapte scheur. De aanvallers bereiken dit door het script te compileren met de Ahk2Exe-compiler (versie 1.1.36.00). Als gevolg hiervan omvat het uitvoerbare bestand verschillende stadia die uiteindelijk een .NET-implementatie van AsyncRAT inzetten, die we HotRat hebben genoemd, en dit omvat het aspect van persistentie.
Installatie
Het installatieproces omvat meerdere stadia, zoals afgebeeld in Figuur 1, om de uiteindelijke HotRat-malware te implementeren en de persistentie ervan op het geïnfecteerde systeem te waarborgen. Het begint met een uitgeklede versie van een verwachte gekraakte software setup. De enige functie van deze setup is het initiëren van een kwaadaardig AutoHotkey-script. Interessant is dat de setup hetzelfde pictogram en metadata deelt als de verwachte software. Er is ook een aparte map met kwaadaardige materialen naast de verwachte software die moet worden "gekraakt".
Figure 1. Installation process of HotRat
Ingebouwd PowerShell Script
De Taakplanner wordt gebruikt om de persistentie van de malware op het geïnfecteerde systeem te handhaven. Het ingebedde script maakt een nieuwe taak aan met een opzettelijke typefout in de naam ("administartor") die elke twee minuten een VBS Loader uitvoert. Een voorbeeld van deze geplande taak is:
schtasks.exe /create /tn administartor /SC minute /MO 2 /tr C:\\ProgramData\\Microsoft\\IObitUnlocker\\Loader.vbs /RL HIGHEST
Daarnaast voegt het ingebedde script de procesnaam RegAsm.exe toe aan de uitsluitingslijst van Windows Defender, omdat dit proces wordt misbruikt voor het injecteren van de payload, zoals later wordt beschreven.
HotRat Implementatie
Zodra de geplande taak is ingesteld en eventuele AV's zijn gedeactiveerd, voert de geplande taak periodiek de VBS Loader uit, die geleidelijk de uiteindelijke HotRat-payload deobfusceert en injecteert, zoals Figuur 2 laat zien.
Figure 2. HotRat deploying using Task Scheduler
HotRat Malware
De uiteindelijke payload die we HotRat noemen, is afgeleid van de open-source implementatie van AsyncRAT. De malware auteurs hebben de AsyncRAT implementatie uitgebreid met nieuwe functies om verschillende persoonlijke informatie en inloggegevens te stelen; het kan andere malware implementeren. Dus, HotRat is een uitgebreide RAT malware. We hebben ongeveer 20 nieuw geïmplementeerde commando's geïdentificeerd.
Conclusie
Ondanks de bekende gevaren, stelt een aanhoudende trend van softwarepiraterij gebruikers bloot aan mogelijke malware-infecties. In het midden van oktober zagen we een piek in malware-activiteit, waarbij illegale software werd gebundeld met een kwaadaardig AutoHotkey-script dat de HotRat-malware op de computers van slachtoffers lanceerde. De verspreiding van deze malware gebeurt via openbare repositories, met links die worden verspreid op sociale netwerken en forums.
Het is cruciaal om opnieuw te benadrukken dat men voorzichtig moet zijn met het downloaden van dubieuze software van niet-geverifieerde bronnen, vooral diegenen die eisen dat antivirusprogramma's worden gedeactiveerd, omdat dit kan helpen het risico op malware-infecties en datalekken te beperken.
Bron: decoded.avast.io
Meer info over malware of alle begrippen en vormen van A tot Z
Heeft u vragen over cybercrime, digitale criminaliteit, fraude of oplichting? Onze 'AI-chatbot Cybercrime' staat klaar om u te helpen. Voor vragen over Strafrecht of Strafvordering, kunt u terecht bij onze 'AI-chatbot Criminal Law'. Klik hier om gebruik te maken van onze AI-chatbots.
Meer malware nieuws
Infostealers ontrafeld: ontdek de stille dreiging
Reading in another language
Nederland in de top 5 van meest getroffen landen door mobiele malware
In deze podcast waarschuwen we voor de groeiende dreiging van mobiele malware in Nederland, dat inmiddels tot de top 5 van meest getroffen landen behoort. We leggen uit waarom Nederland een aantrekkelijk doelwit is voor cybercriminelen, mede door de hoge technologische adoptie, economische welvaart en geavanceerde infrastructuur. Daarnaast bespreken we verschillende soorten mobiele malware die in Nederland worden waargenomen, zoals banking malware, spyware, ransomware, adware en phishing-apps. De impact op zowel individuen als bedrijven wordt uitgelicht, met de nadruk op financiële verliezen, identiteitsdiefstal en reputatieschade. We sluiten af met praktische tips om jezelf te beschermen tegen mobiele malware, zoals bewustwording, veilig downloaden, gebruik van beveiligingssoftware, regelmatige updates, sterke wachtwoorden, beperken van toestemmingen, bedrijfsbeleid, regelmatige back-ups en samenwerking met experts.
Malvertising: De verborgen bedreiging in het digitale tijdperk
EN: Click here and choose your language using Google's translation bar at the top of this page ↑
De risico's van illegale software downloads: Een diepgaande analyse van HotRat
Click here and choose your language using Google's translation bar at the top of this page ↑
Flubot-aanvallen richten zich op Roblox-gamers: hoe kinderen worden opgelicht met virtuele muntjes
Click here or click 'CHOOSE LANGUAGE' and then choose your language using Google's translation bar at the top of this page ↑
Malware infectiemethoden
Malware komt doorgaans de infrastructuur van een bedrijf binnen via e-mail, maar dit is niet de enige infectiemethode. De voornaamste manier om cyberincidenten te voorkomen, is voorkomen dat malware de infrastructuur van uw bedrijf binnendringt. Daarom richten deskundigen zich bij het ontwikkelen van een informatiebeveiligingsstrategie vaak op de meest voor de hand liggende aanvalsvectoren, zoals e-mailverkeer. De meeste aanvallen beginnen inderdaad met een e-mail, maar vergeet niet dat cybercriminelen nog tal van andere methodes hebben om malware bij hun slachtoffers af te leveren. Deskundigen van Kaspersky’s Global Research & Analysis Team spraken over ongebruikelijke methodes om malware te verspreiden en apparaten te infecteren die ze zijn tegengekomen tijdens het analyseren van recente bedreigingen.