Microsoft udsender advarsel for nye RAT-målretningsindustrier

Microsoft Security Intelligence offentliggjorde en række tweets, der advarede om spredning af en ny stamme af malware, der er rettet mod luftfarts- og rejsebranchen. Den pågældende malware er blevet navngivet RevengeRAT.

En RAT eller en fjernadgang Trojan er en type malware, der giver dårlige aktører mulighed for at få betydelig kontrol over et inficeret system eller netværk. RAT inkluderer normalt en bagdørskomponent, der giver hackere mulighed for at sende kommandoer og udføre kode på offersystemet, mens de forbliver uopdaget så længe som muligt.

Den nye RevengeRAT, også kaldet AsyncRAT, spredes primært ved hjælp af spear-phishing-e-mails. Spear-phishing er metoden til at sende ondsindet mail, der maskerer e-mailen for at se ud som om den blev sendt fra en betroet kilde, normalt en person, som modtageren allerede kender og stoler på.

I modsætning til almindelig phishing, hvor e-mails sendes i massespam-kampagner, har spear-phishing tendens til at være en mere snævert målrettet tilgang med fokus på en bestemt virksomhed, organisation eller enhed.

De ondsindede e-mails, der spreder RevengeRAT, har en vedhæftet fil, der maskerer sig som en Adobe PDF-fil, mens den i virkeligheden er en Visual Basic-fil, fyldt med ondsindede scripts. Når scriptet er udført, implementerer det RAT-nyttelasten. Den ondsindede fil i den vedhæftede fil misbruger normalt legitime webservices og indeholder et link til Visual Basic-scriptfilen.

Sikkerhedsfirmaet Morphisec, citeret i Microsofts tweets, navngav den læsser, der blev brugt i implementeringen af RevengeRAT, "Snip3". En underlig kendsgerning om læsseren er, at den springer over implementeringen af Trojan-komponenten til fjernadgang, hvis den opdager, at den udføres i en Windows-sandkasse eller et andet virtuelt maskinmiljø, der kan bruges som en malware-fangende sandkasse.

RevengeRAT har evnen til at exfiltrere loginoplysninger, fange skærmbilleder og få adgang til webkameraer og kigge ind i udklipsholderens indhold.

Når RAT er blevet implementeret på offerets system, kontakter den sin kommando- og kontrolserver ved hjælp af et dynamisk værtssted og misbruger derefter PowerShell og fileless metoder til at få fat i og implementere yderligere tre nyttelast fra offentligt vendte links på websteder som Pastebin.

Nøgleordene og vinklen, der bruges i spear-phishing-e-mails, der bruges af de dårlige aktører, der kører de nuværende RevengeRAT-kampagner, er alle skrå mod arbejdere i rejse- og rumfartssektoren, ifølge Microsoft.

Tweets bemærkede yderligere, at Microsofts Defender kan opdage de separate komponenter i denne malware og reagere på hvert trin i angrebet.

May 13, 2021

Efterlad et Svar