ReverseRat, en pakistansk trojan som retter seg mot indiske enheter
Cyberkrigen mellom India og Pakistan fortsetter. Denne gangen har en ukjent pakistansk trusselspiller brukt en ny skadelig programvare, kalt ReverseRat, for å kompromittere nettsikkerheten til India-baserte kraftselskaper. Denne nye trusselen ble ofte brukt i kombinasjon med andre nyttelaster, og det ser ut til at dens primære formål er å datatyveri og rekognosering. Selv om funksjonene til ReverseRat ikke er veldig avanserte, pakker den mer enn nok funksjonalitet for å tillate operatørene å utføre alle slags oppgaver på systemene de kompromitterer.
ReverseRat ansatt i angrep mot indiske kraftselskaper
Så langt har forskere ikke vært i stand til å finne de nøyaktige metodene som kriminelle bruker for å levere implantatet, men det er veldig sannsynlig at de stoler på e-postvedlegg. Hvis en bruker ender med å samhandle med den skyggefulle e-posten, kan de bli bedt om å laste ned et filvedlegg eller en fil som er vert på et eksternt nettsted. Den aktuelle filen er vanligvis et ZIP-arkiv, som inneholder enten en LNK eller en PDF-fil. Disse to filene kan utføre skadelig kode hvis brukeren gir dem visse tillatelser. Temaene i disse falske dokumentene kan variere, men de kriminelle ser ut til å fokusere på fag som er spesifikke for energisektoren, eller relatert til COVID-19-vaksinene.
ReverseRat har et stort antall funksjoner
Før du kjører, vil ReverseRat samle litt grunnleggende informasjon om nettverket det har kompromittert - MAC-adresse, IP-adresse, maskinvare- og programvarekonfigurasjon og datamaskinnavnet. Når den er kjørt, har den muligheten til å utføre flere oppgaver:
- Last ned og start kjørbare filer.
- Stjele filer.
- Kjør en ny prosess.
- Administrer filsystemet.
- Liste over kataloginnhold.
- Se kjøringsprosessen og administrer dem.
- Kapre utklippstavlen.
- Ta tak i skjermbilder.
ReverseRat Trojan pakker muligheten til å utføre noen av komponentene i minnet, og minimerer derfor datafotavtrykket det etterlater på systemene det kompromitterer. Imidlertid er angrepet ikke helt filøst, og dette skal lett kunne oppdages av anerkjente antivirusprodukter.