Microsoft utsteder advarsel for nye RAT Targeting Industries

Microsoft Security Intelligence publiserte en serie tweets, og advarte mot spredning av en ny stamme av skadelig programvare som er rettet mot luftfarts- og reisebransjen. Den aktuelle skadelige programvaren har fått navnet RevengeRAT.

En RAT eller en ekstern Trojan er en type skadelig programvare som gjør at dårlige aktører kan få betydelig kontroll over et infisert system eller nettverk. RAT inkluderer vanligvis en bakdørkomponent som gjør det mulig for hackere å sende kommandoer og utføre kode på offerets system mens de ikke blir oppdaget så lenge som mulig.

Den nye RevengeRAT, også kalt AsyncRAT, spres hovedsakelig ved hjelp av e-post med spear-phishing. Spear-phishing er metoden for å sende ondsinnet e-post, og maskerer e-posten for å se ut som om den ble sendt fra en pålitelig kilde, vanligvis noen som mottakeren allerede kjenner og stoler på.

I motsetning til vanlig phishing der e-post sendes i masse spam-kampanjer, har spear-phishing en tendens til å være en snevrere målrettet tilnærming, med fokus på en bestemt virksomhet, organisasjon eller enhet.

De ondsinnede e-postene som sprer RevengeRAT har et vedlegg som maskeres som en Adobe PDF-fil, mens det i virkeligheten er en Visual Basic-fil, lastet med ondsinnede skript. Når skriptet er utført, distribuerer det RAT-nyttelasten. Den ondsinnede filen i den vedlagte filen misbruker vanligvis legitime webtjenester og inneholder en lenke til Visual Basic-skriptfilen.

Sikkerhetsselskapet Morphisec, sitert i Microsofts tweets, kalt lasteren som ble brukt i distribusjonen av RevengeRAT "Snip3". Et merkelig faktum om lasteren er at den hopper over distribusjonen av den eksterne Trojan-komponenten hvis den oppdager at den blir utført i en Windows Sandbox eller et annet virtuelt maskinmiljø som kan brukes som en skadelig sandkasse.

RevengeRAT har evnen til å exfiltrere påloggingsinformasjon, fange skjermbilder og få tilgang til webkameraer og se på utklippstavlenes innhold.

Når RAT har blitt distribuert på offerets system, kontakter den kommando- og kontrollserveren, ved hjelp av et dynamisk vertsside, og misbrukte deretter PowerShell og fileless metoder for å hente og distribuere tre ytterligere nyttelast fra offentligstående lenker på nettsteder som Pastebin.

Nøkkelordene og vinkelen som brukes i e-post med spydfiske som brukes av de dårlige skuespillerne som kjører de nåværende RevengeRAT-kampanjene, er alle skrånende mot arbeidere i reise- og romfartssektoren, ifølge Microsoft.

Tweets bemerket videre at Microsofts Defender kan oppdage de separate komponentene i denne malware og reagere på hvert trinn av angrepet.