Вредоносная программа HotRat предоставляет злоумышленникам широкий спектр возможностей, таких как кража учетных данных, криптовалютных кошельков, захват экрана, кейлоггинг, установка дополнительных вредоносных программ, а также получение доступа к данным буфера обмена или их изменение.
Угрозы захватывают крэки, доступные в Интернете через торрент-сайты или подозрительные веб-страницы, и создают вредоносный скрипт AutoHotkey, превращая его в исполняемый файл с тем же значком, что и у захваченного крэка. Для этого злоумышленники компилируют скрипт с помощью компилятора Ahk2Exe (версия 1.1.36.00). В результате исполняемый файл проходит несколько этапов, на которых в конечном итоге разворачивается .NET-реализация AsyncRAT, названная нами HotRat, включающая аспект персистентности.
Этот способ заражения был замечен в различных типах взломанного ПО, и теоретически он может быть вставлен как в инсталляторы нелегального, так и легального ПО. Наиболее распространенной группой, как правило, являются программы Adobe (Illustrator, Master Collection, Photoshop) и Microsoft (Office, Windows). Вторую группу составляют, прежде всего, видеоигры, такие как Battlefield 3, Age of Empires IV, Red Alert 2 и The Sims 4. И, наконец, последнюю значительную группу составляют программы премиум-класса, используемые в качестве системных инструментов и средств разработки (например, IObit Driver Booster, VMware Workstation, Revo Uninstaller Pro и т.д.).
Indicators of Compromise
IPv4 Port Combinations
- 108.143.240.80:112
- 185.205.209.206:1114
Domains
- dynsys.is-a-guru.com
- fon1.sells-it.net
- foxn1.sells-it.net
- rec.casacam.net
- samaerx.ddnsfree.com
- srxy123.is-a-geek.com
- websites.theworkpc.com