VileRAT Malware brukes til å målrette mot kryptohandelsselskaper

VileRAT er navnet på et stykke multifunksjonell skadelig programvare som ble brukt til å målrette mot en rekke enheter lokalisert i europeiske og Midtøsten-land i løpet av de siste 12 månedene.

VileRAT var ansvarlig for angrep primært på valuta- og kryptovalutahandelsenheter og organisasjoner. Skadevaren er knyttet til trusselaktøren kjent under aliaset til DeathStalker.

VileRAT bruker en infeksjonskjede som vanligvis starter med en ondsinnet Office-fil. Infeksjonen er avhengig av injisering av ondsinnede makroer injisert fra en ekstern DOTM-mal.

Det neste trinnet i kjeden involverer VileDropper-komponenten av skadelig programvare, som er avhengig av skjult JavaScript-kode som brukes til å levere VileLoader-modulen. Til syvende og sist er VileLoader ansvarlig for å laste ned og utføre den endelige VileRAT-nyttelasten.

VileRAT selv har et veldig allsidig verktøysett til disposisjon. Den kan utføre vilkårlige kommandoer, logge tastetrykk, etablere utholdenhet gjennom planlagte oppgaver, liste anti-malware-programvare installert på offersystemet og oppdatere seg selv fra kommando- og kontrollserverne, samt slette filer.

VileRAT har blitt brukt i angrep på mål lokalisert i flere europeiske land, inkludert Russland, samt mot mål i Kuwait og De forente arabiske emirater.