Корейцев атакует троян BitRAT, выдающий себя за активатор Windows 10

Татьяна Никитина 22 Марта 2022 - 17:37

...

Корейцев атакует троян BitRAT, выдающий себя за активатор Windows 10

Исследователи из AhnLab выявили новую киберкампанию — злоумышленники раздают троян удаленного доступа BitRAT с файлообменников, популярных в Южной Корее. Используемые при этом элементы социальной инженерии рассчитаны на любителей халявы: вредоносный загрузчик упакован вместе с левым верификатором лицензии Windows 10.

Активировать Windows можно двумя способами — с помощью цифровой лицензии или ключа продукта. При этом происходит привязка экземпляра к аккаунту пользователя Microsoft и конкретному оборудованию. Возможность получить Windows 10 бесплатно существует, но для апгрейда все равно нужна валидная лицензия, и многие стремятся обойти это препятствие с помощью неофициального активатора. В этом случае высока вероятность, что инструмент окажется зараженным.

Троянизированный софт, распространяемый в рамках новой BitRAT-кампании, был умышленно загружен в веб-хранилища, которые корейцы называют webhard. Эти потоковые сайты предоставляют пользователям возможность расшарить создаваемый контент с помощью прямых ссылок, публикуемых в соцсетях или Discord, и неизменно демонстрируют высокую посещаемость.

Разбор текущих атак показал, что раздаваемый таким образом запароленный файл Program.zip содержит некий инструмент W10DigitalActivation.exe — архив 7z SFX с двумя схожими по имени файлами. Один из них действительно оказался активатором Windows 10, притом работоспособным, а другой (W10DigitalActivation_Temp.msi) — зловредом.

При распаковке оба файла устанавливаются одновременно и работают в параллель, так что жертва даже не заподозрит подлог. Вредонос при этом подключается к своему серверу (адрес вшит в код) и скачивает BitRAT, прописывая его в папке временных файлов как Software_Reporter_Tool.exe. Загрузчик также обеспечивает RAT-трояну автозапуск при старте Windows и защиту от детектирования (вносит в список исключений Microsoft Defender), а потом удаляет себя из системы.

Зловред BitRAT — коммерческий софт, его продают на подпольных форумах и теневых маркетплейсах, притом за умеренную цену. Способ распространения покупатель выбирает сам, и троян может попасть в систему после открытия вредоносного письма, посещения взломанного сайта или запуска зараженного приложения.

Боевой арсенал BitRAT весьма разнообразен; вредонос умеет не только открывать удаленный доступ к зараженной системе, но и регистрировать клавиатурный ввод, получать доступ к веб-камере и микрофону, воровать информацию из браузеров и буфера обмена, запускать криптомайнер XMRig, обеспечивать проведение DDoS-атак.

Опциональный набор функций также включает обход UAC, отключение Защитника Windows, обеспечение скрытого доступа к рабочему столу (hVNC) и проброс трафика через SOCKS4 и SOCKS5 (UDP). Для коммуникаций BitRAT использует защищенные соединения (TLS 1.2) и Tor.

Следующая главная новость »

Облачная ИТ-инфраструктура в России: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 20 Марта 2026 - 11:32

Бэкдоры Домашние пользователи

Python-пакет pyronut превращает Telegram-ботов в точку входа для атакующих

В репозитории PyPI обнаружили вредоносный Python-пакет pyronut, который маскировался под библиотеку для работы с Telegram и превращал ботов в удобную точку входа для атакующих. Исследователи из Endor Labs пишут, что пакет выдавал себя за альтернативу популярному Pyrogram — фреймворку для Telegram MTProto API, который используется довольно широко.

Схема была не совсем классическим тайпсквоттингом: названия pyrogram и pyronut не так уж похожи.

Поэтому исследователи предполагают, что пакет, скорее всего, продвигали через чаты в Telegram, форумы или туториалы, где разработчики могли просто копировать команду установки, не слишком вчитываясь в метаданные.

Дополнительный красный флаг — автор скопировал описание легитимного проекта почти слово в слово, а в качестве исходного репозитория указал несуществующий GitHub-адрес.

Пакет прожил недолго, но этого вполне хватило. На PyPI успели появиться только три версии — 2.0.184, 2.0.185 и 2.0.186, обе были вредоносными. По данным исследователей, их обнаружили и отправили в карантин 18 марта 2026 года, так что окно заражения оказалось сравнительно коротким.

Особенно неприятно то, как именно работал pyronut. В отличие от многих зловредных пакетов, которые срабатывают ещё во время установки, здесь полезная нагрузка активировалась только при запуске Telegram.

Злоумышленник модифицировал метод Client.start() так, чтобы тот незаметно подтягивал скрытый модуль и запускал бэкдор, при этом все ошибки молча подавлялись, а приложение со стороны выглядело нормально.

Дальше начиналось самое интересное. Бэкдор регистрировал скрытые обработчики команд /e и /shell, которые принимались только от двух заранее зашитых Telegram-аккаунтов атакующего.

Команда /e фактически превращала заражённого бота в удалённую Python-консоль с доступом к объектам клиента, чатам, контактам, истории сообщений и низкоуровневым API Telegram. А /shell давала уже более привычный доступ к системе: произвольные команды передавались в /bin/bash -c, а результаты возвращались злоумышленнику через сам Telegram.

Если такой пакет попадал в рабочее окружение, атакующий получал сразу два бонуса: контроль над сессией в Telegram и возможность выполнять команды на самом хосте, где крутится Python-процесс. А это уже дорога к краже токенов, ключей, файлов конфигурации и дальнейшему закреплению в инфраструктуре.

Специалисты рекомендуют проверить зависимости на наличие pyronut этих версий, посмотреть, не подтягивалась ли библиотека meval, и отдельно поискать подозрительные дочерние процессы вида /bin/bash -c, запущенные из Python-приложений. Если пакет всё же оказался в окружении, исследователи советуют отзывать Telegram-сессии, перевыпускать токены ботов и менять все потенциально засвеченные секреты.

Облачная ИТ-инфраструктура в России: что реально работает?
Регистрируйтесь на эфир!