ReverseRat, un trojan pakistano che prende di mira entità indiane
La guerra cibernetica tra India e Pakistan continua. Questa volta, uno sconosciuto attore di minacce pakistane ha utilizzato un nuovo malware, chiamato ReverseRat, per compromettere la sicurezza della rete delle società elettriche con sede in India. Questa nuova minaccia è stata spesso utilizzata in combinazione con altri payload e sembra che il suo scopo principale sia il furto di dati e la ricognizione. Sebbene le funzionalità di ReverseRat non siano molto avanzate, racchiude funzionalità più che sufficienti per consentire ai suoi operatori di svolgere tutti i tipi di attività sui sistemi che compromettono.
ReverseRat impiegato negli attacchi contro le compagnie elettriche indiane
Finora, i ricercatori non sono stati in grado di individuare i metodi esatti utilizzati dai criminali per consegnare l'impianto, ma è molto probabile che si basino su allegati di posta elettronica. Se un utente finisce per interagire con l'e-mail ombreggiata, potrebbe essere richiesto di scaricare un file allegato o un file ospitato su un sito esterno. Il file in questione è in genere un archivio ZIP, che contiene un file LNK o PDF. Questi due file possono eseguire codice dannoso se l'utente concede loro determinate autorizzazioni. Gli argomenti di questi documenti falsi possono variare, ma i criminali sembrano concentrarsi su argomenti specifici del settore energetico o relativi ai vaccini COVID-19.
ReverseRat racchiude un gran numero di funzioni
Prima dell'esecuzione, ReverseRat raccoglierà alcune informazioni di base sulla rete che ha compromesso: indirizzo MAC, indirizzo IP, configurazione hardware e software e nome del computer. Una volta in esecuzione, ha la capacità di eseguire diverse attività:
- Scarica e avvia i file eseguibili.
- Ruba file.
- Esegui un nuovo processo.
- Gestire il file system.
- Elenca i contenuti della directory.
- Visualizza i processi in esecuzione e gestiscili.
- Dirotta gli appunti.
- Cattura screenshot.
Il Trojan ReverseRat racchiude la capacità di eseguire alcuni dei suoi componenti in memoria, riducendo quindi al minimo l'impronta di dati che lascia sui sistemi che compromette. Tuttavia, il suo attacco non è completamente privo di file e dovrebbe essere facilmente rilevabile da prodotti antivirus affidabili.