Κακόβουλο λογισμικό VileRAT που χρησιμοποιείται για τη στόχευση εταιρειών συναλλαγών κρυπτογράφησης

Το VileRAT είναι το όνομα ενός τμήματος πολυλειτουργικού κακόβουλου λογισμικού που χρησιμοποιήθηκε για να στοχεύσει έναν αριθμό οντοτήτων που βρίσκονται σε ευρωπαϊκές και χώρες της Μέσης Ανατολής κατά τη διάρκεια των τελευταίων 12 μηνών.

Η VileRAT ήταν υπεύθυνη για επιθέσεις κυρίως σε συναλλαγματικές οντότητες και οργανισμούς συναλλάγματος και κρυπτονομισμάτων. Το κακόβουλο λογισμικό συνδέεται με τον παράγοντα απειλών που είναι γνωστός με το ψευδώνυμο DeathStalker.

Το VileRAT χρησιμοποιεί μια αλυσίδα μόλυνσης που συνήθως ξεκινά με ένα κακόβουλο αρχείο του Office. Η μόλυνση βασίζεται στην έγχυση κακόβουλων μακροεντολών που εγχέονται από ένα απομακρυσμένο πρότυπο DOTM.

Το επόμενο βήμα της αλυσίδας περιλαμβάνει το στοιχείο VileDropper του κακόβουλου λογισμικού, το οποίο βασίζεται σε ασαφή κώδικα JavaScript που χρησιμοποιείται για την παράδοση της λειτουργικής μονάδας VileLoader. Τελικά, το VileLoader είναι υπεύθυνο για τη λήψη και την εκτέλεση του τελικού ωφέλιμου φορτίου VileRAT.

Το ίδιο το VileRAT έχει στη διάθεσή του μια πολύ ευέλικτη εργαλειοθήκη. Μπορεί να εκτελέσει αυθαίρετες εντολές, να καταγράψει πατήματα πλήκτρων, να δημιουργήσει επιμονή μέσω προγραμματισμένων εργασιών, να παραθέσει λογισμικό προστασίας από κακόβουλο λογισμικό που είναι εγκατεστημένο στο σύστημα θύματος και να ενημερώνεται από τους διακομιστές εντολών και ελέγχου του, καθώς και να διαγράφει αρχεία.

Το VileRAT έχει χρησιμοποιηθεί σε επιθέσεις σε στόχους που βρίσκονται σε πολλές ευρωπαϊκές χώρες, συμπεριλαμβανομένης της Ρωσίας, καθώς και εναντίον στόχων στο Κουβέιτ και στα Ηνωμένα Αραβικά Εμιράτα.