Malware VileRAT utilizado para apuntar a empresas de comercio de criptomonedas

VileRAT es el nombre de una pieza de malware multifuncional que se usó para atacar a varias entidades ubicadas en países de Europa y Medio Oriente en el transcurso de los últimos 12 meses.

VileRAT fue responsable de los ataques principalmente a entidades y organizaciones de comercio de divisas y criptomonedas. El malware está vinculado al actor de amenazas conocido con el alias de DeathStalker.

VileRAT usa una cadena de infección que comúnmente comienza con un archivo de Office malicioso. La infección se basa en inyectar macros maliciosas inyectadas desde una plantilla DOTM remota.

El siguiente paso de la cadena involucra el componente VileDropper del malware, que se basa en el código JavaScript ofuscado que se usa para entregar el módulo VileLoader. En última instancia, VileLoader es responsable de descargar y ejecutar la carga útil final de VileRAT.

VileRAT tiene a su disposición un conjunto de herramientas muy versátil. Puede ejecutar comandos arbitrarios, registrar pulsaciones de teclas, establecer persistencia a través de tareas programadas, enumerar el software antimalware instalado en el sistema de la víctima y actualizarse desde sus servidores de comando y control, así como eliminar archivos.

VileRAT se ha utilizado en ataques contra objetivos ubicados en varios países europeos, incluida Rusia, así como contra objetivos en Kuwait y los Emiratos Árabes Unidos.