CetaRAT Trojan utilizza l'attivazione ritardata per eludere la sicurezza
Il CetaRAT è un Trojan ad accesso remoto (RAT) il cui sviluppo e utilizzo è attribuito a un gruppo sconosciuto Advanced Persistent Threat (APT). Tuttavia, è possibile che i criminali dietro di esso condividano strumenti con altri gruppi, dal momento che il CetaRAT è stato precedentemente coinvolto in una campagna gestita dall'Operazione SideCopy APT.
Le infezioni da CetaRAT di solito si verificano tramite e-mail di spearphishing che contengono un allegato pericoloso. Naturalmente, il file è mascherato per sembrare un documento, una fattura o un archivio innocuo che la vittima non riterrà sospetto. Se aprono il file dannoso, potrebbero essere invitati a concedergli determinate autorizzazioni che porteranno all'esecuzione di uno script macro e alla consegna del payload CetaRAT.
I messaggi di phishing relativi alla politica diffondono il CetaRAT
I messaggi di phishing trasmessi dal CetaRAT di solito si concentrano su argomenti legati alla politica nella regione della vittima, ad esempio le relazioni India-Cina o la documentazione del Ministero degli affari esteri. Anche il modo in cui CetaRAT viene eseguito su macchine infette è molto intrigante. Invece di inizializzare immediatamente il modulo dannoso, la minaccia rilascerà i suoi file nella directory di avvio e quindi avvierà uno script per comandare alla macchina di riavviarsi dopo un po' di tempo. Questa esecuzione ritardata può consentire al CetaRAT di evitare determinate funzionalità di sicurezza.
L'obiettivo principale di questo Trojan di accesso remoto è estrarre i dati dalla macchina della vittima e trasferirli al server degli aggressori. I criminali sono anche in grado di eseguire una lunga lista di comandi remoti:
- Scarica ed esegui un file.
- Gestire il file system.
- Rinomina i file.
- Eseguire comandi remoti.
- Cattura screenshot.
- Gestire i processi in esecuzione.
Le vittime nelle regioni colpite dall'attacco CetaRAT possono migliorare la loro sicurezza rimanendo vigili per le e-mail sospette che le spingono a visualizzare un allegato. Inoltre, l'utilizzo di una soluzione antivirus aggiornata è il modo migliore per scoraggiare gli attacchi di malware.