TechforID – Pengguna OS Windows diharapkan berhati-hati karena saat ini diduga malware BitRAT baru sedang didistribusikan secara langsung untuk mengeksploitasi data pengguna.
Malware inimengeksploitasi pengguna dengan cara menyusup lewat OS Windows bajakan secara gratis menggunakan activator lisensi Microsoft yang tidak resmi.
Ia merupakan jenis Trojan akses jarak jauh yang kuat dan konon dijual murah secara illegal di internet maupun darkweb.
Biasanya sang pembeli menggunakan BitRAT untuk distribusi malware mulai dari aksi Phising, Watering Hole, atau Software yang tersisip Trojan.
Usut punya usut, distribus malware BitRAT pertama kali ditemukan oleh para peneliti di AhnLab. Dimana para pelaku mendistribusikan malware itu sebagai activator lisensi Windows 10 Pro di Webhards.
Webhard adalah layanan penyimpanan online yang populer di Korea Selatan yang memiliki arus pengunjung yang stabil dari tautan unduhan langsung yang diposting di platform media sosial atau Discord.
Karena penggunaannya yang luas di wilayah tersebut, pelaku ancaman sekarang lebih sering menggunakan webhard untuk mendistribusikan malware BitRAT.
Cara Kerja Malware BitRAT
Diduga aktor dibalik ini berasal dari orang Korea sendiri berdasarkan beberapa karakter Korea dalam kode dan cara distribusinya.
Biasanya, pengguna yang tidak mau ribet seringkali mendownload versi Windows 10 bajakan atau mencari versi tidak resminya.
Baca juga: Microsoft Peringati Bahaya Malware UpdateAgent Bagi Pengguna Mac iOS
Dalam kampanye ini, file berbahaya yang dipromosikan sebagai aktivator Windows 10 bernama ‘W10DigitalActiviation.exe‘ dan menampilkan GUI sederhana dengan tombol untuk “Active Windows 10.”
Namun, bukannya mengaktifkan lisensi Windows pada sistem host, “aktivator” tersebut justru akan mengunduh malware dari server perintah.
Payload yang diambil adalah BitRAT, dipasang di %TEMP% sebagai ‘Software_Reporter_Tool.exe’ dan ditambahkan ke folder Startup.
Fitur Downloader juga menambahkan pengecualian untuk Windows Defender untuk memastikan bahwa BitRAT tidak akan mengalami masalah deteksi.
Setelah proses instalasi malware selesai, downloader menghapus dirinya sendiri dari sistem dan hanya menyisakan BitRAT.
BitRAT dipromosikan sebagai malware yang kuat, murah, dan serbaguna yang dapat mengambil berbagai informasi berharga dari host, melakukan serangan DDoS, bypass UAC, dan masih banyak lagi
Ia juga mendukung keylogging generik, pemantauan clipboard, akses webcam, perekaman audio, pencurian kredensial dari browser web, dan fungsi penambangan koin XMRig.
Selain itu, BitRAT menawarkan remote control untuk sistem Windows, komputasi jaringan virtual tersembunyi (hVNC), dan proxy terbalik melalui SOCKS4 dan SOCKS5 (UDP).
Baca artikel selanjutnya :