ShellClient Malware richt zich sinds 2018 op de luchtvaartindustrie
ShellClient Malware is een nieuw ontdekte Remote Access Trojan die echter al meer dan twee jaar in gebruik is. De criminelen erachter worden gevolgd onder de alias MalKamak, en deze specifieke campagne richt zich op spionage. De kwaadwillende dreigingsactoren gingen achter grote bedrijven en instellingen aan die actief zijn in Europa, Rusland, de Verenigde Staten en het Midden-Oosten. Het spectaculaire van ShellClient Malware is dat het door zijn lage activiteit en slimme ontwerp erin slaagde om meer dan twee jaar onder de radar te blijven voordat het uiteindelijk werd geïdentificeerd en ontleed. Het lijkt erop dat de primaire doelen van de ShellClient Malware onderdelen van de lucht- en ruimtevaart- en telecommunicatie-industrie waren.
ShellClient Malware onderging grote veranderingen in 2 jaar
De nieuwste build van de ShellClient Malware dateert van mei 2021 - dit is een zeker teken dat de ontwikkelaars regelmatig updates voor hun payload vrijgeven. Uiteraard werden alle actieve exemplaren van de malware automatisch geüpdatet naar de laatst beschikbare versie. Een ander bijzonder aspect van deze campagne is dat de hackers de malware vermomden als het legitieme RuntimeBroker.exe- proces. Het laatste proces is een legitiem Windows-onderdeel dat de machtigingen van de Microsoft Store-app afhandelt.
Een ander belangrijk ding om toe te voegen aan de ShellClient Malware is dat de oorspronkelijke variant veel minimalistischer was. In feite functioneerde het als een eenvoudige omgekeerde shell waarmee aanvallers externe opdrachten konden uitvoeren. Over een periode van twee jaar onderging het echter grote veranderingen waardoor het een volwaardige, modulaire Remote Access Trojan werd.
Aangezien spionage de primaire focus van deze dreiging is, zijn de belangrijkste kenmerken het uitvoeren van externe code en het onderscheppen van gegevens. Zoals hierboven vermeld, heeft het een automatische updatefunctie en een modulaire structuur, waardoor de operators het implantaat gemakkelijk kunnen beheren.