仮想通貨取引会社を標的とするマルウェア「VileRAT」
VileRAT は、過去 12 か月間にヨーロッパおよび中東諸国にある多数のエンティティを標的とするために使用された多機能マルウェアの名前です。
VileRAT は、主に外国為替および暗号通貨の取引エンティティおよび組織に対する攻撃を担当していました。このマルウェアは、DeathStalker の別名で知られる攻撃者に関連付けられています。
VileRAT は、通常、悪意のある Office ファイルから始まる感染チェーンを使用します。この感染は、リモートの DOTM テンプレートから挿入された悪意のあるマクロの挿入に依存しています。
チェーンの次のステップには、マルウェアの VileDropper コンポーネントが含まれます。このコンポーネントは、VileLoader モジュールを配信するために使用される難読化された JavaScript コードに依存しています。最終的に、VileLoader は最終的な VileRAT ペイロードのダウンロードと実行を担当します。
VileRAT 自体には、自由に使える非常に用途の広いツールキットがあります。任意のコマンドを実行し、キーストロークをログに記録し、スケジュールされたタスクを通じて永続性を確立し、被害者のシステムにインストールされているマルウェア対策ソフトウェアを一覧表示し、コマンド アンド コントロール サーバーから自分自身を更新し、ファイルを削除することができます。
VileRAT は、ロシアを含むいくつかのヨーロッパ諸国にある標的、およびクウェートとアラブ首長国連邦の標的に対する攻撃に使用されています。