Microsoft emette un avviso per i nuovi settori di targeting RAT
Microsoft Security Intelligence ha pubblicato una serie di tweet, avvertendo della diffusione di un nuovo ceppo di malware che prende di mira i settori aerospaziale e dei viaggi. Il malware in questione è stato chiamato RevengeRAT.
Un RAT o un Trojan di accesso remoto è un tipo di malware che consente ai malintenzionati di ottenere un controllo considerevole su un sistema o una rete infetti. I RAT di solito includono un componente backdoor che consente agli hacker di inviare comandi ed eseguire codice sul sistema vittima rimanendo inosservati il più a lungo possibile.
Il nuovo RevengeRAT, chiamato anche AsyncRAT, viene diffuso principalmente tramite e-mail di spear-phishing. Lo spear-phishing è il metodo per inviare posta dannosa, mascherando l'email in modo che sembri inviata da una fonte attendibile, di solito qualcuno che il destinatario già conosce e di cui si fida.
A differenza del normale phishing in cui le e-mail vengono inviate in campagne di spam di massa, lo spear phishing tende ad essere un approccio più mirato, incentrato su una specifica azienda, organizzazione o entità.
Le e-mail dannose che diffondono RevengeRAT hanno un allegato mascherato da file Adobe PDF, mentre in realtà si tratta di un file Visual Basic, carico di script dannosi. Una volta eseguito lo script, distribuisce il payload RAT. Il file dannoso nel file allegato in genere abusa di servizi Web legittimi e contiene un collegamento al file di script di Visual Basic.
La società di sicurezza Morphisec, citata nei tweet di Microsoft, ha chiamato il caricatore utilizzato nella distribuzione di RevengeRAT "Snip3". Un fatto curioso del caricatore è che salta completamente la distribuzione del componente Trojan di accesso remoto se scopre che viene eseguito all'interno di una sandbox di Windows o di un altro ambiente di macchina virtuale che può essere utilizzato come sandbox che cattura il malware.
RevengeRAT ha la capacità di esfiltrare le credenziali di accesso, acquisire schermate e accedere a webcam e sbirciare nei contenuti degli appunti.
Una volta che il RAT è stato distribuito sul sistema della vittima, contatta il suo server di comando e controllo, utilizzando un sito di hosting dinamico, quindi ha abusato di PowerShell e metodi senza file per acquisire e distribuire tre ulteriori payload da collegamenti pubblici su siti come Pastebin.
Le parole chiave e l'angolazione utilizzate nelle e-mail di spear-phishing utilizzate dai malintenzionati che gestiscono le attuali campagne RevengeRAT sono tutte orientate ai lavoratori nei settori dei viaggi e aerospaziale, secondo Microsoft.
I tweet hanno inoltre sottolineato che Defender di Microsoft può rilevare i componenti separati di questo malware e reagire in ogni fase dell'attacco.
