A Microsoft figyelmeztetést küld az új RAT célzási iparágak számára
A Microsoft Security Intelligence egy sor tweetet tett közzé, figyelmeztetve egy új, a repülőgépipar és az utazási ágazatot megcélzó rosszindulatú program terjedésére. A szóban forgó kártevő RevengeRAT nevet kapta.
A RAT vagy a távoli hozzáférésű trójai program egy olyan rosszindulatú program, amely lehetővé teszi a rossz szereplők számára, hogy jelentős ellenőrzést szerezzenek egy fertőzött rendszer vagy hálózat felett. A RAT-ok általában tartalmaznak egy hátsó ajtó-összetevőt, amely lehetővé teszi a hackerek számára, hogy parancsokat küldjenek és futtassák a kódokat az áldozati rendszeren, miközben a lehető leghosszabb ideig észrevétlenek maradnak.
Az új RevengeRAT, más néven AsyncRAT, elsősorban lándzsás adathalász e-mailek segítségével terjed. A lándzsás adathalászat a rosszindulatú levelek elküldésének módja, amely úgy maszkolja az e-mailt, mintha megbízható forrásból küldték volna, általában olyan személyről, akit a címzett már ismer és megbízik.
A szokásos adathalászattól eltérően, amikor az e-maileket tömeges spam-kampányokban küldik, a lándzsás adathalászat szűkebben célzott megközelítés, amely egy adott vállalkozásra, szervezetre vagy szervezetre összpontosít.
A RevengeRAT-t terjesztő rosszindulatú e-mailek melléklete Adobe PDF fájlként maszkírozott, míg a valóságban Visual Basic fájlról van szó, rosszindulatú szkriptekkel terhelve. A parancsfájl végrehajtása után telepíti a RAT hasznos terhet. A csatolt fájlban található rosszindulatú fájl általában visszaél a törvényes webszolgáltatásokkal, és tartalmaz egy linket a Visual Basic szkriptfájlra.
A Microsoft tweetjeiben idézett Morphisec biztonsági cég a RevengeRAT telepítésekor használt rakodót "Snip3" néven nevezte el. Érdekes tény a betöltővel kapcsolatban, hogy teljesen átugorja a távoli hozzáférésű trójai összetevő telepítését, ha rájön, hogy azt egy Windows Sandboxon vagy egy másik virtuális gép környezetben hajtják végre, amely rosszindulatú programokat elkapó homokozóként használható.
A RevengeRAT képes kiszűrni a bejelentkezési adatokat, rögzíteni a képernyőképeket, elérni a webkamerákat és bekukucskálni a vágólap tartalmába.
Miután a RAT telepítve lett az áldozat rendszerében, egy dinamikus tárhely segítségével felveszi a kapcsolatot a parancs- és ellenőrző szerverével, majd visszaélt a PowerShell és fájl nélküli módszerekkel, hogy megkapjon és telepítsen további három hasznos terhet az olyan oldalak nyilvános linkjeiről, mint a Pastebin.
A Microsoft szerint a jelenlegi RevengeRAT kampányokat lebonyolító rossz szereplők által használt lándzsás adathalász e-mailekben használt kulcsszavak és szög mind az utazási, mind az űripari dolgozók felé ferdén áll.
A tweetek azt is megjegyezték, hogy a Microsoft Defender képes észlelni a kártevő különálló összetevőit és reagálni tud a támadás minden szakaszában.