„Microsoft“ įspėja apie naujas RAT taikymo įmones
„Microsoft Security Intelligence“ paskelbė „Twitter“ seriją, įspėjančią apie naujos rūšies kenkėjiškų programų paplitimą, skirtą aviacijos ir kelionių pramonei. Aptariama kenkėjiška programa buvo pavadinta „RevengeRAT“.
RAT arba nuotolinės prieigos Trojanas yra tam tikros rūšies kenkėjiškos programos, leidžiančios blogiems veikėjams reikšmingai kontroliuoti užkrėstą sistemą ar tinklą. Į RAT dažniausiai įeina užpakalinis komponentas, leidžiantis įsilaužėliams siųsti komandas ir vykdyti kodą aukos sistemoje, kuo ilgiau likdamas nepastebėtas.
Naujasis „RevengeRAT“, dar vadinamas „AsyncRAT“, pirmiausia plinta naudojant el. „Phishing-phishing“ yra kenkėjiškų laiškų siuntimo būdas, el. Laiškas užmaskuojamas taip, lyg jis būtų siunčiamas iš patikimo šaltinio, paprastai to, kurį gavėjas jau žino ir kuriuo pasitiki.
Skirtingai nuo įprasto sukčiavimo, kai el. Laiškai siunčiami masinėse šlamšto kampanijose, sukčiavimas apsimetant yra siauriau orientuotas požiūris, sutelkiant dėmesį į konkretų verslą, organizaciją ar subjektą.
„RevengeRAT“ platinantys kenkėjiški el. Laiškai turi priedą, užmaskuotą kaip „Adobe PDF“ failas, o iš tikrųjų tai yra „Visual Basic“ failas, įkrautas kenkėjiškais scenarijais. Vykdžius scenarijų, jis naudoja RAT naudingąją apkrovą. Pridedamame faile esantis kenkėjiškas failas paprastai piktnaudžiauja teisėtomis interneto paslaugomis ir jame yra nuoroda į „Visual Basic“ scenarijaus failą.
Apsaugos kompanija „Morphisec“, cituojama „Microsoft“ tweetuose, „RevengeRAT“ diegimui naudojamą krautuvą pavadino „Snip3“. Keistas faktas apie krautuvą yra tai, kad jis visiškai praleidžia nuotolinės prieigos Trojos kompiuterio komponento diegimą, jei nustato, kad jis vykdomas „Windows Sandbox“ ar kitoje virtualios mašinos aplinkoje, kuri gali būti naudojama kaip kenkėjiškų programų gaudanti smėlio dėžė.
„RevengeRAT“ gali išfiltruoti prisijungimo duomenis, užfiksuoti ekrano kopijas ir prieiti prie interneto kamerų bei žvilgtelėti į mainų srities turinį.
Kai RAT bus įdiegtas aukos sistemoje, jis susisieks su savo valdymo ir valdymo serveriu, naudodamas dinaminę prieglobos svetainę, ir tada piktnaudžiavo „PowerShell“ ir „fileless“ metodais, norėdamas patraukti ir įdiegti dar tris naudingus krovinius iš viešai nukreiptų nuorodų tokiose svetainėse kaip „Pastebin“.
Pasak „Microsoft“, raktiniai žodžiai ir kampas, naudojami el. Pašto žinučių sukčiavimo elektroniniuose laiškuose, kuriuos naudoja blogi veikėjai, vykdantys dabartines „RevengeRAT“ kampanijas, yra nukreipti į kelionių ir aviacijos sektoriaus darbuotojus.
Tviteriuose taip pat pažymėta, kad „Microsoft“ gynėjas gali aptikti atskirus šios kenkėjiškos programos komponentus ir reaguoti kiekviename išpuolio etape.