Η Microsoft εκδίδει προειδοποίηση για νέες βιομηχανίες στόχευσης RAT

Η Microsoft Security Intelligence δημοσίευσε μια σειρά tweets, προειδοποιώντας για την εξάπλωση ενός νέου στελέχους κακόβουλου λογισμικού που στοχεύει στην αεροδιαστημική και ταξιδιωτική βιομηχανία. Το εν λόγω κακόβουλο λογισμικό ονομάστηκε RevengeRAT.

Ένας RAT ή μια απομακρυσμένη πρόσβαση Trojan είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει στους κακούς παράγοντες να αποκτήσουν σημαντικό έλεγχο σε ένα μολυσμένο σύστημα ή δίκτυο. Οι RAT περιλαμβάνουν συνήθως ένα στοιχείο backdoor που επιτρέπει στους χάκερ να στέλνουν εντολές και να εκτελούν κώδικα στο σύστημα του θύματος, ενώ παραμένουν μη εντοπισμένοι για όσο το δυνατόν περισσότερο.

Το νέο RevengeRAT, που ονομάζεται επίσης AsyncRAT, διαδίδεται κυρίως χρησιμοποιώντας ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος. Το Spear-phishing είναι η μέθοδος αποστολής κακόβουλου μηνύματος, καλύπτοντας το email ώστε να φαίνεται σαν να στάλθηκε από μια αξιόπιστη πηγή, συνήθως από κάποιον που ήδη γνωρίζει και εμπιστεύεται ο παραλήπτης.

Σε αντίθεση με το κανονικό ηλεκτρονικό ψάρεμα (phishing) όπου τα email αποστέλλονται σε μαζικές καμπάνιες ανεπιθύμητης αλληλογραφίας, το spear-phishing τείνει να είναι μια πιο στενά στοχευμένη προσέγγιση, εστιάζοντας σε μια συγκεκριμένη επιχείρηση, οργανισμό ή οντότητα.

Τα κακόβουλα email που διαδίδουν το RevengeRAT έχουν ένα συνημμένο που μεταμφιέζεται ως αρχείο Adobe PDF, ενώ στην πραγματικότητα είναι ένα αρχείο Visual Basic, φορτωμένο με κακόβουλα σενάρια. Μόλις εκτελεστεί το σενάριο, αναπτύσσει το ωφέλιμο φορτίο RAT. Το κακόβουλο αρχείο στο συνημμένο αρχείο συνήθως καταχράται νόμιμες υπηρεσίες ιστού και περιέχει έναν σύνδεσμο προς το αρχείο σεναρίου της Visual Basic.

Η εταιρεία ασφαλείας Morphisec, που αναφέρεται στα tweets της Microsoft, ονόμασε τον φορτωτή που χρησιμοποιήθηκε για την ανάπτυξη του RevengeRAT "Snip3". Ένα περίεργο γεγονός για το πρόγραμμα φόρτωσης είναι ότι παραλείπει την ανάπτυξη του εξαρτήματος απομακρυσμένης πρόσβασης Trojan εάν ανακαλύψει ότι εκτελείται σε περιβάλλον Windows Sandbox ή σε άλλο περιβάλλον εικονικής μηχανής που μπορεί να χρησιμοποιηθεί ως sandbox που καταλαβαίνει κακόβουλο λογισμικό.

Το RevengeRAT έχει τη δυνατότητα να απομακρύνει τα διαπιστευτήρια σύνδεσης, να συλλαμβάνει στιγμιότυπα οθόνης και να έχει πρόσβαση σε κάμερες web και να παρακολουθεί τα περιεχόμενα του πρόχειρου.

Μόλις το RAT έχει αναπτυχθεί στο σύστημα του θύματος, επικοινωνεί με τον διακομιστή εντολών και ελέγχου, χρησιμοποιώντας μια δυναμική τοποθεσία φιλοξενίας και, στη συνέχεια, κατάχρησε τις μεθόδους PowerShell και χωρίς αρχεία για να αρπάξει και να αναπτύξει τρία επιπλέον ωφέλιμα φορτία από δημόσιους συνδέσμους σε ιστότοπους όπως το Pastebin.

Οι λέξεις-κλειδιά και η γωνία που χρησιμοποιούνται στα ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος (phear-phishing) που χρησιμοποιούν οι κακοί ηθοποιοί που εκτελούν τις τρέχουσες εκστρατείες RevengeRAT έχουν κλίση προς τους εργαζόμενους στον τομέα των ταξιδιών και της αεροδιαστημικής, σύμφωνα με τη Microsoft.

Τα tweets σημείωσαν επίσης ότι ο Microsoft Defender μπορεί να ανιχνεύσει τα ξεχωριστά στοιχεία αυτού του κακόβουλου λογισμικού και να αντιδράσει σε κάθε στάδιο της επίθεσης.