Вредоносная программа HotRat активно распространяется через пиратское и взломанное программное обеспечение, представляя серьезную угрозу для пользователей. Этот троян обладает широким функционалом, включая кражу учетных данных, криптовалютных кошельков, запись нажатий клавиш (кейлоггинг), захват экрана и даже установку дополнительных вредоносных программ. Кроме того, HotRat способен манипулировать данными в буфере обмена, что делает его особенно опасным для пользователей, работающих с конфиденциальной информацией.
Описание
Злоумышленники используют уловки, чтобы замаскировать вредоносный код под легитимное ПО. Они внедряют скрипт AutoHotkey в крэки, доступные на торрент-сайтах и сомнительных веб-ресурсах, а затем компилируют его в исполняемый файл с помощью утилиты Ahk2Exe. В результате файл выглядит как обычный крэк, но при запуске разворачивает .NET-версию AsyncRAT, которую исследователи назвали HotRat. Программа также обладает функцией персистентности, что позволяет ей оставаться в системе даже после перезагрузки.
Анализ зараженных файлов показывает, что злоумышленники чаще всего подменяют взломанные версии популярного софта. В первую очередь это продукты Adobe (Illustrator, Photoshop, Master Collection) и Microsoft (Office, Windows). Также под угрозой оказываются видеоигры, такие как Battlefield 3, Age of Empires IV, Red Alert 2 и The Sims 4. В третью группу риска входят премиальные утилиты и инструменты разработки, включая IObit Driver Booster, VMware Workstation и Revo Uninstaller Pro.
Эксперты предупреждают, что подобные атаки могут быть адаптированы и для легального ПО, если злоумышленникам удастся внедрить вредоносный код в официальные инсталляторы. Это делает угрозу еще более масштабной, поскольку даже пользователи, избегающие пиратского софта, могут оказаться в зоне риска.
Чтобы минимизировать вероятность заражения, специалисты по кибербезопасности рекомендуют воздерживаться от скачивания взломанных программ и крэков с непроверенных источников. Также важно регулярно обновлять антивирусное ПО и использовать двухфакторную аутентификацию для защиты учетных записей. В случае подозрения на заражение следует немедленно провести полное сканирование системы и, при необходимости, обратиться к профессионалам для удаления вредоносного кода.
Распространение HotRat демонстрирует, насколько изощренными становятся методы киберпреступников. Вместо прямых атак они все чаще используют социальную инженерию, маскируя вредоносное ПО под полезные утилиты. В таких условиях осведомленность пользователей и соблюдение базовых правил безопасности становятся ключевыми факторами защиты от цифровых угроз.
Индикаторы компрометации
IPv4 Port Combinations
- 108.143.240.80:112
- 185.205.209.206:1114
Domains
- dynsys.is-a-guru.com
- fon1.sells-it.net
- foxn1.sells-it.net
- rec.casacam.net
- samaerx.ddnsfree.com
- srxy123.is-a-geek.com
- websites.theworkpc.com