Escanor RAT kryber på det mørke web

Et forskerhold med sikkerhedsfirmaet Resecurity opdagede et nyt ondsindet værktøj, der blev distribueret på det mørke web. Den nye malware er et fjernadministrationsværktøj, der blev døbt Escanor.

Den tidligste observation af Escanor går tilbage til den første måned af 2022. Malwaren distribueres også via en Telegram-kanal, hvor den har vundet betydelig indpas og nærmer sig 30 tusinde abonnenter.

Den ondsindede nyttelast af Escanor distribueres ved hjælp af behandlede Office- og PDF-filer. Malwaren har også en mobilversion, der fungerer ved at opsnappe engangsadgangskoder, der sendes til brugere af bankapplikationer. Den mobile version af malware er kendt under aliaset Esca RAT.

Ud over at blive brugt til banksvig og potentielt tyveri, kan Esca RAT overvåge GPS-placeringen af den inficerede enhed, logge tastetryk fra den og eksfiltrere filer.

RAT er forbundet med en trusselsaktør kendt under aliaset AridViper, som tidligere var rettet mod enheder i Israel.

De nye ofre, der er inficeret med Escanor, er blevet lokaliseret over hele kloden, inklusive Amerika, De Forenede Arabiske Emirater, Bahrain, Mexico og Singapore.