De risico's van illegale software downloads: Een diepgaande analyse van HotRat

Click here and choose your language using Google's translation bar at the top of this page ↑

Ondanks de aanzienlijke risico's blijft de onweerstaanbare verleiding om hoogwaardige software kosteloos te verkrijgen bestaan, wat veel mensen ertoe leidt illegale software te downloaden. Daarom blijft het verspreiden van dergelijke software een effectieve methode voor het wijdverspreid verspreiden van malware. Deze analyse onthult dat gekraakte software vaak verborgen scripts bevat die de malware van aanvallers op de computers van slachtoffers implementeren, soms zelfs met aanvullende malware.

Het Gebruik van AutoHotkey Script

Onze focus ligt op het onderzoeken van het gebruik van een AutoHotkey-script dat is gekoppeld aan vooraf gehackte software. Dit script activeert de release van een variant van AsyncRAT-malware die we HotRat hebben genoemd. De eerste stap van het implementatieproces vereist echter beheerdersrechten. Aangezien misbruikte software vaak standaard hoge privileges vereist, vinden slachtoffers het verzoek om extra rechten niet verdacht. Bovendien compromitteert het implementatieproces de systeembeveiliging door antivirusbeschermingen uit te schakelen voordat HotRat op de machine van het slachtoffer wordt geïnstalleerd.

De Mogelijkheden van HotRat Malware

HotRat-malware voorziet aanvallers van een breed scala aan mogelijkheden, zoals het stelen van inloggegevens, cryptocurrency wallets, schermafbeeldingen maken, keylogging, het installeren van meer malware, en toegang krijgen tot of het wijzigen van klembordgegevens. Ons onderzoek benadrukt het belang van het vermijden van ongeautoriseerde software downloads en benadrukt de enorme risico's die aan deze acties zijn verbonden, waaronder meerdere malware-infecties en het mogelijke lekken van gevoelige informatie. We adviseren om software te verkrijgen van legitieme en goedgekeurde aanbieders, omdat dit veiligheid, legaliteit en continue ondersteuning garandeert. Gebruikers moeten ook systeembeveiligingsmaatregelen, zoals antivirusprogramma's, handhaven om zich te beschermen tegen deze evoluerende cyberdreigingen.

Wapening en Levering

Dreigingsactoren grijpen scheuren die online beschikbaar zijn via torrent sites of verdachte webpagina's, en ze maken een kwaadaardig AutoHotkey-script, dat ze omzetten in een uitvoerbaar bestand dat hetzelfde pictogram draagt als de gekaapte scheur. De aanvallers bereiken dit door het script te compileren met de Ahk2Exe-compiler (versie 1.1.36.00). Als gevolg hiervan omvat het uitvoerbare bestand verschillende stadia die uiteindelijk een .NET-implementatie van AsyncRAT inzetten, die we HotRat hebben genoemd, en dit omvat het aspect van persistentie.

Installatie

Het installatieproces omvat meerdere stadia, zoals afgebeeld in Figuur 1, om de uiteindelijke HotRat-malware te implementeren en de persistentie ervan op het geïnfecteerde systeem te waarborgen. Het begint met een uitgeklede versie van een verwachte gekraakte software setup. De enige functie van deze setup is het initiëren van een kwaadaardig AutoHotkey-script. Interessant is dat de setup hetzelfde pictogram en metadata deelt als de verwachte software. Er is ook een aparte map met kwaadaardige materialen naast de verwachte software die moet worden "gekraakt".

Figure 1. Installation process of HotRat

Ingebouwd PowerShell Script

De Taakplanner wordt gebruikt om de persistentie van de malware op het geïnfecteerde systeem te handhaven. Het ingebedde script maakt een nieuwe taak aan met een opzettelijke typefout in de naam ("administartor") die elke twee minuten een VBS Loader uitvoert. Een voorbeeld van deze geplande taak is: 

schtasks.exe /create /tn administartor /SC minute /MO 2 /tr C:\\ProgramData\\Microsoft\\IObitUnlocker\\Loader.vbs /RL HIGHEST

Daarnaast voegt het ingebedde script de procesnaam RegAsm.exe toe aan de uitsluitingslijst van Windows Defender, omdat dit proces wordt misbruikt voor het injecteren van de payload, zoals later wordt beschreven.

HotRat Implementatie

Zodra de geplande taak is ingesteld en eventuele AV's zijn gedeactiveerd, voert de geplande taak periodiek de VBS Loader uit, die geleidelijk de uiteindelijke HotRat-payload deobfusceert en injecteert, zoals Figuur 2 laat zien.

Figure 2. HotRat deploying using Task Scheduler

HotRat Malware

De uiteindelijke payload die we HotRat noemen, is afgeleid van de open-source implementatie van AsyncRAT. De malware auteurs hebben de AsyncRAT implementatie uitgebreid met nieuwe functies om verschillende persoonlijke informatie en inloggegevens te stelen; het kan andere malware implementeren. Dus, HotRat is een uitgebreide RAT malware. We hebben ongeveer 20 nieuw geïmplementeerde commando's geïdentificeerd.

Conclusie

Ondanks de bekende gevaren, stelt een aanhoudende trend van softwarepiraterij gebruikers bloot aan mogelijke malware-infecties. In het midden van oktober zagen we een piek in malware-activiteit, waarbij illegale software werd gebundeld met een kwaadaardig AutoHotkey-script dat de HotRat-malware op de computers van slachtoffers lanceerde. De verspreiding van deze malware gebeurt via openbare repositories, met links die worden verspreid op sociale netwerken en forums.

Het is cruciaal om opnieuw te benadrukken dat men voorzichtig moet zijn met het downloaden van dubieuze software van niet-geverifieerde bronnen, vooral diegenen die eisen dat antivirusprogramma's worden gedeactiveerd, omdat dit kan helpen het risico op malware-infecties en datalekken te beperken.

Bron: decoded.avast.io

Meer info over malware of alle begrippen en vormen van A tot Z

Heeft u vragen over cybercrime, digitale criminaliteit, fraude of oplichting? Onze 'AI-chatbot Cybercrime' staat klaar om u te helpen. Voor vragen over Strafrecht of Strafvordering, kunt u terecht bij onze 'AI-chatbot Criminal Law'. Klik hier om gebruik te maken van onze AI-chatbots.

Meer malware nieuws