VileRAT Malware bruges til at målrette mod kryptohandelsvirksomheder

VileRAT er navnet på et stykke multifunktionel malware, der blev brugt til at målrette en række enheder i europæiske og mellemøstlige lande i løbet af de sidste 12 måneder.

VileRAT var ansvarlig for angreb primært på udenlandsk valuta og cryptocurrency handelsenheder og organisationer. Malwaren er knyttet til trusselsaktøren kendt under aliaset DeathStalker.

VileRAT bruger en infektionskæde, der almindeligvis starter med en ondsindet Office-fil. Infektionen er afhængig af indsprøjtning af ondsindede makroer, der er injiceret fra en ekstern DOTM-skabelon.

Det næste trin i kæden involverer VileDropper-komponenten af malwaren, som er afhængig af sløret JavaScript-kode, der bruges til at levere VileLoader-modulet. I sidste ende er VileLoader ansvarlig for at downloade og udføre den endelige VileRAT-nyttelast.

VileRAT selv har et meget alsidigt værktøjssæt til sin rådighed. Den kan udføre vilkårlige kommandoer, logge tastetryk, etablere persistens gennem planlagte opgaver, liste anti-malware-software installeret på offersystemet og opdatere sig selv fra dets kommando- og kontrolservere, samt slette filer.

VileRAT er blevet brugt i angreb på mål beliggende i flere europæiske lande, herunder Rusland, samt mod mål i Kuwait og De Forenede Arabiske Emirater.