Microsoft geeft waarschuwing voor nieuwe RAT-targeting-industrieën

Microsoft Security Intelligence publiceerde een reeks tweets waarin werd gewaarschuwd voor de verspreiding van een nieuwe vorm van malware die zich richt op de luchtvaart- en reisindustrie. De malware in kwestie heeft de naam RevengeRAT gekregen.

Een RAT of een trojan voor externe toegang is een type malware waarmee slechte actoren aanzienlijke controle kunnen krijgen over een geïnfecteerd systeem of netwerk. RAT's bevatten meestal een backdoor-component waarmee hackers commando's kunnen verzenden en code kunnen uitvoeren op het slachtoffersysteem terwijl ze zo lang mogelijk onopgemerkt blijven.

De nieuwe RevengeRAT, ook wel AsyncRAT genoemd, wordt voornamelijk verspreid via spear-phishing-e-mails. Spear-phishing is de methode om kwaadaardige e-mail te verzenden, waarbij de e-mail eruitziet alsof deze afkomstig is van een vertrouwde bron, meestal iemand die de ontvanger al kent en vertrouwt.

In tegenstelling tot gewone phishing, waarbij e-mails worden verzonden in massale spamcampagnes, is spear-phishing meestal een nauwere gerichte aanpak, gericht op een specifiek bedrijf, organisatie of entiteit.

De kwaadaardige e-mails die RevengeRAT verspreiden, hebben een bijlage die zich voordoet als een Adobe PDF-bestand, terwijl het in werkelijkheid een Visual Basic-bestand is, beladen met kwaadaardige scripts. Zodra het script is uitgevoerd, wordt de RAT-payload geïmplementeerd. Het schadelijke bestand in het bijgevoegde bestand maakt meestal misbruik van legitieme webservices en bevat een link naar het Visual Basic-scriptbestand.

Beveiligingsbedrijf Morphisec, geciteerd in de tweets van Microsoft, noemde de loader die wordt gebruikt bij de implementatie van RevengeRAT "Snip3". Een merkwaardig feit over de loader is dat het de inzet van de Trojan-component voor externe toegang helemaal overslaat als het ontdekt dat het wordt uitgevoerd in een Windows Sandbox of een andere virtuele machine-omgeving die kan worden gebruikt als een sandbox die malware opvangt.

De RevengeRAT heeft de mogelijkheid om inloggegevens te exfiltreren, screenshots te maken en toegang te krijgen tot webcams en een kijkje te nemen in de inhoud van het klembord.

Zodra de RAT is geïmplementeerd op het systeem van het slachtoffer, neemt het contact op met de command and control-server, met behulp van een dynamische hostingsite, en misbruikt vervolgens PowerShell en bestandsloze methoden om drie extra payloads van openbare links op sites zoals Pastebin te pakken en te implementeren.

De trefwoorden en invalshoek die worden gebruikt in de spear-phishing-e-mails die worden gebruikt door de slechte actoren die de huidige RevengeRAT-campagnes uitvoeren, zijn volgens Microsoft allemaal gericht op werknemers in de reis- en luchtvaartsector.

De tweets merkten verder op dat Microsoft's Defender de afzonderlijke componenten van deze malware kan detecteren en in elke fase van de aanval kan reageren.

May 13, 2021

Laat een antwoord achter