Attori di minacce finanziariamente motivati usano il Klingon RAT
I criminali informatici e gli sviluppatori di malware sperimentano ogni sorta di trucchi e innovazioni per cercare di rendere i loro impianti o operazioni più difficili da individuare. Negli ultimi tre anni, c'è stato un afflusso di malware di nuova costruzione che è stato sviluppato utilizzando il Google Go Language (Golang.) Golang, simile al linguaggio di programmazione C, è preferito dai criminali informatici per un solo motivo: potrebbe aiutarli a confondere strumenti di sicurezza automatici e indurli a consentire l'esecuzione di codice dannoso. Una delle nuove minacce che abusano dell'uso di Golang si chiama Klingon RAT (Remote Access Trojan.)
RAT Klingon personalizzato utilizzato per rubare informazioni finanziarie
I creatori del Klingon RAT sembrano utilizzarlo privatamente ed è improbabile che lo condividano con altre organizzazioni di criminalità informatica. Lo scopo principale di Klingon RAT è ottenere dati finanziari dal sistema compromesso e, infine, consentire agli operatori di rubare denaro o eseguire transazioni fraudolente. Il Klingon RAT possiede anche la capacità di terminare specifiche funzionalità di sicurezza di Windows, così come i processi di alcuni strumenti antivirus. Sfortunatamente, non ci sono abbastanza informazioni sugli esatti trucchi e metodi utilizzati per propagare il payload Klingon RAT.
Una volta che il Klingon RAT si è infiltrato con successo in un sistema, rilascerà i suoi file nella sottocartella %APPDATA%. Alcune istanze del RAT sembrano nascondere i loro componenti utilizzando nomi dal suono legittimo come "updater10.exe". La minaccia quindi guadagna persistenza impostando chiavi di esecuzione del registro o creando una nuova attività pianificata.
Una delle cose peculiari del Klingon RAT è che abusa di più vulnerabilità note per aggirare il controllo dell'account utente di Windows (UAC): inizia con il metodo più popolare per farlo e poi procede all'exploit successivo se il precedente fallisce. La funzionalità del Klingon RAT non è spettacolare rispetto ai Trojan di accesso remoto commerciali. I suoi operatori possono eseguire comandi PowerShell tramite privilegi aumentati, aggiornare il payload, aprire una connessione desktop remoto o distribuire malware aggiuntivo. Questo è più che sufficiente per aiutare i criminali a raggiungere i loro obiettivi.
Adotta misure preventive per proteggerti dal Klingon RAT utilizzando una suite di software anti-malware affidabile e servizi firewall. Inoltre, acquisisci familiarità con i suggerimenti più generali per la navigazione Web sicura, che potrebbero aiutarti a evitare file e siti Web potenzialmente dannosi.