Malware VileRAT utilizzato per prendere di mira le società di trading di criptovalute
VileRAT è il nome di un malware multifunzionale che è stato utilizzato negli ultimi 12 mesi per prendere di mira una serie di entità situate nei paesi europei e mediorientali.
VileRAT è stato responsabile di attacchi principalmente a entità e organizzazioni di trading di valuta estera e criptovaluta. Il malware è collegato all'attore delle minacce noto con lo pseudonimo di DeathStalker.
VileRAT utilizza una catena di infezione che di solito inizia con un file Office dannoso. L'infezione si basa sull'iniezione di macro dannose iniettate da un modello DOTM remoto.
Il passaggio successivo della catena riguarda il componente VileDropper del malware, che si basa sul codice JavaScript offuscato utilizzato per fornire il modulo VileLoader. In definitiva, VileLoader è responsabile del download e dell'esecuzione del payload VileRAT finale.
La stessa VileRAT ha a sua disposizione un toolkit molto versatile. Può eseguire comandi arbitrari, registrare sequenze di tasti, stabilire la persistenza tramite attività pianificate, elencare il software anti-malware installato sul sistema vittima e aggiornarsi dai suoi server di comando e controllo, nonché eliminare file.
VileRAT è stato utilizzato in attacchi a obiettivi situati in diversi paesi europei, inclusa la Russia, nonché contro obiettivi in Kuwait e negli Emirati Arabi Uniti.