VBA RAT raggiunge le vittime attraverso il Manifesto pro-Crimea
Un nuovo malware è stato utilizzato nella battaglia informatica in corso tra Russia e Ucraina per il conflitto in Crimea. La nuova minaccia, soprannominata VBA RAT, viene consegnata tramite e-mail di phishing, che contengono un documento macro-lacciato. Il documento esca è un manifesto chiamato ' Манифест.docx .' Il documento sembra essere disponibile in due varianti, che utilizzano tecniche leggermente diverse per eseguire un payload incorporato: il VBA RAT.
L'obiettivo del Trojan è quello di raccogliere informazioni sul sistema compromesso, nonché di interagire con il file system. I suoi operatori possono comandare all'impianto di eliminare file, caricare/scaricare file e controllare quale software antivirus è in esecuzione sul computer della vittima. Uno dei risultati interessanti relativi alla campagna VBA RAT è che gli aggressori stanno utilizzando un exploit di Internet Explorer, precedentemente impiegato dal Lazarus Hacking Group . Tuttavia, è altamente improbabile che gli attori delle minacce dietro il VBA RAT abbiano qualcosa in comune con il famigerato Lazarus APT.
VBA RAT controlla periodicamente le nuove istruzioni
Anche il modo in cui VBA RAT riceve il comando è in qualche modo unico. Invece di ascoltare costantemente i comandi, utilizza un piccolo script che viene attivato ogni 10 minuti. Trascorsi 10 minuti, l'impianto contatta il server di comando e controllo e verifica la presenza di nuovi comandi: se non c'è nulla, ripete l'attività dopo altri dieci minuti.
Il malware viene gestito tramite un pannello di controllo basato sul Web, che contiene informazioni sulle vittime attualmente online: posizione, indirizzo IP, sistema operativo e altro. È altamente improbabile che il VBA RAT venga utilizzato contro i residenti regolari della Russia o dell'Ucraina – invece, è probabile che i suoi obiettivi primari siano individui coinvolti nel conflitto in Crimea.
Tuttavia, attacchi come quello eseguito da VBA RAT possono essere bloccati utilizzando una suite di software anti-malware aggiornata.