Das Analyseteam des Forschungsunternehmens ASEC hat kürzlich eine neue Bedrohung für Windowsbasierte Systeme enttarnt welche sich als Tool zur Überprüfung von Windows Produktschlüsseln tarnt. Tatsächlich aber verbirgt sich hinter dem eigentlich harmlosen Tool ein BitRAT auch als Fernzugriffstrojaner bekannt.
Verbreitet wird dieser Trojaner über Webhards, hierbei handelt es sich um Online-Tauschbörsen in Korea. Es ist natürlich kein Geheimnis, dass es sich bei Kostenpflichtigen Programmen die „gratis“ über Online-Börsen vertrieben werden, sehr oft um gecrackte Versionen handelt, welche mit allerlei Schadsoftware ausgestattet sein können, jedoch nehmen viele Benutzer dieser Programme die Gefahr nicht ernst oder leben schlichtweg in Regionen, wo sie sich eine Lizensierte Version einfach nicht leisten können. Ein Umstand den sich zwielichtige Geschäftemacher gerne zu nutzen nehmen.
Warum also warnen wir vor dieser gecrackten Version, wenn sie doch in Korea verbreitet wird. Ganze einfach, gecrackte Versionen finden sehr schnell ihren Weg in heimische Tauschbörsen und damit auch auf heimische Rechner.
So funktioniert der BitRAT Trojaner
Die ASEC Spezialisten haben herausgefunden das die heruntergeladene Zip-Datei „W10DigitalActivation.exe“ neben dem Schadprogramm auch eine echte Windows Aktivierungsdatei enthält. Die msi Datei „W10DigitalActivation“ dürfte echt sein, während die Datei „W10DigitalActivation_Temp“ die Malware enthält.
Wird nun die exe-Datei ausgeführt werden das echte Verifizierungstool und die Malware-Datei synchron ausgeführt, so entsteht der Eindruck, dass das Lizenzschlüssel-Tool ordnungsgemäß funktioniert.
Nachdem das Tool ausgeführt wurde, lädt dieses weitere bösartige Dateien von seinem Command-and-Control-Server (C&C) herunter und liefert diese über PowerShell in den Windows Startprogrammordner. Zum Schluss wird der Trojaner als Software_Reporter_Tool.exe im %temp%-Ordner installiert und im Windows Defender werden ein Ausschlusspfad für den Autostart-Ordner und ein Ausschlossprozess für den BitRAT Trojaner hinzugefügt.
Ist dies geschehen stehen dem Angreifer auf dem Infizierten System Fenster und Türen offen. Wer mehr über die Arbeit des ASEC Teams erfahren möchte kann dies hier im Original Blogpost nachlesen.
Hand aufs Herz, habt ihr euch schonmal auf solchen Börsen „umgesehen“ verratet es uns doch in den Kommentaren.