Escanor RAT kryper på det mørke nettet

Et forskningsteam med sikkerhetsselskapet Resecurity oppdaget et nytt ondsinnet verktøy som ble distribuert på det mørke nettet. Den nye skadevare er et eksternt administrasjonsverktøy som ble kalt Escanor.

Den tidligste observasjonen av Escanor dateres tilbake til den første måneden av 2022. Skadevaren distribueres også gjennom en Telegram-kanal, hvor den har fått betydelig oppsikt og nærmer seg 30 tusen abonnenter.

Den ondsinnede nyttelasten til Escanor distribueres ved hjelp av dokumenterte Office- og PDF-filer. Skadevaren har også en mobilversjon som fungerer ved å avskjære engangspassord som sendes til brukere av bankapplikasjoner. Mobilversjonen av skadelig programvare er kjent under aliaset Esca RAT.

I tillegg til å bli brukt til banksvindel og potensielt tyveri, kan Esca RAT overvåke GPS-posisjonen til den infiserte enheten, logge tastetrykk fra den og eksfiltrere filer.

RAT er assosiert med en trusselaktør kjent under aliaset AridViper, som tidligere var målrettet mot enheter lokalisert i Israel.

De nye ofrene som er infisert med Escanor har vært lokalisert over hele kloden, inkludert Amerika, De forente arabiske emirater, Bahrain, Mexico og Singapore.