VileRAT-Malware, die verwendet wird, um Krypto-Handelsunternehmen anzugreifen

VileRAT ist der Name einer multifunktionalen Malware, die im Laufe der letzten 12 Monate verwendet wurde, um eine Reihe von Unternehmen in europäischen und nahöstlichen Ländern anzugreifen.

VileRAT war für Angriffe hauptsächlich auf Devisen- und Kryptowährungshandelseinheiten und -organisationen verantwortlich. Die Malware ist mit dem unter dem Pseudonym DeathStalker bekannten Bedrohungsakteur verbunden.

VileRAT verwendet eine Infektionskette, die üblicherweise mit einer schädlichen Office-Datei beginnt. Die Infektion beruht auf dem Einschleusen bösartiger Makros, die von einer entfernten DOTM-Vorlage eingeschleust werden.

Der nächste Schritt in der Kette betrifft die VileDropper-Komponente der Malware, die auf verschleiertem JavaScript-Code basiert, der zur Bereitstellung des VileLoader-Moduls verwendet wird. Letztendlich ist VileLoader für das Herunterladen und Ausführen der endgültigen VileRAT-Nutzlast verantwortlich.

VileRAT selbst verfügt über ein sehr vielseitiges Toolkit. Es kann beliebige Befehle ausführen, Tastenanschläge protokollieren, Persistenz durch geplante Aufgaben herstellen, auf dem Opfersystem installierte Anti-Malware-Software auflisten und sich von seinen Befehls- und Kontrollservern aktualisieren sowie Dateien löschen.

VileRAT wurde bei Angriffen auf Ziele in mehreren europäischen Ländern, einschließlich Russland, sowie gegen Ziele in Kuwait und den Vereinigten Arabischen Emiraten eingesetzt.