A pochi giorni di distanza dall’attacco subito dai sistemi interni di Microsoft, è di nuovo una giornata nera per Redmond, con una nuova ondata circolatoria per il malware BitRAT, che sta colpendo in queste ore non pochi degli utenti che cercano piratare il sistema operativo Windows.
Disporre di una copia di Windows, al giorno d’oggi, non è molto costoso: su internet sono tanti i siti che rivendono licenze dismesse di programmi e sistemi operativi, senza contare le tante licenze ESD vendute a una manciata di euro persino su Ebay ed Amazon. Ciò nonostante, capita ancora che qualcuno voglia fare il “colpo gobbo” ed utilizzare famosi software in modo del tutto gratuito: in questi casi, si tende a cercare degli attivatori, che spesso aggirano le verifiche delle aziende, azzerando periodicamente il contatore interno del programma (che quindi esegue un trial period in loop) o verificandone l’autenticità col puntare a risorse locali e non remote.
Uno degli attivatori in questione, W10DigitalActivation.exe, è stato collocato dagli hacker sul cloud online coreano webhard, spesso usato nella Corea del Sud per condividere file su Discord o sulle piattaforme social e, quindi, molto popolare: in conseguenza di ciò, sono in molti gli utenti ad aver notato questo programma che promette di attivare senza colpo ferire Windows 10 Pro.
Nel metterlo in funzione, il programma mostra una facile interfaccia con il pulsante per eseguire il crack dell’OS ma che, in realtà, una volta premuto, porta a scaricare (via downloader che poi si autoelimina) il trojan ad accesso remoto (RAT) “BitRAT”, che si nasconde nella cartella TEMP come Software_Reporter_Tool.exe, depositando un’istanza nell’esecuzione automatica (per riavviarsi a ogni accensione del pc), e un’eccezione rispetto alle scansioni di Windows Defender.
Terminati i passaggi in questione, BitRAT può registrare tutto quel che si scrive via keylogger, rubare le credenziali dai browser, spiare (via webcam e microfoni), copiare ciò che è negli Appunti (clipboard), minare criptomonete via XMRig, offrire il controllo remoto via dashboard online (passando per tecniche di hidden virtual network computing), eseguire reverse proxing passando per i SOCKS4 e SOCKS5. In conseguenza di ciò, quello che può essere fatto per cautelarsi dai contagi di BitRat si esplica nell’affidarsi sempre a software originale o, in alternativa, gratuito / open source, tenendo nel contempo in considerazione il fatto che, spesso, si verificano delle promozioni anche relative al software, che permettono di accaparrarsi importanti software con forti sconti.