VBA RAT bereikt slachtoffers via pro-Krim-manifest

2018 Cybercrime Costs $45 Billion

Een nieuw stukje malware is gebruikt in de voortdurende cyberstrijd tussen Rusland en Oekraïne over het conflict op de Krim. De nieuwe dreiging, genaamd de VBA RAT, wordt geleverd via phishing-e-mails, die een macro-geregen document bevatten. Het lokdocument is een manifest genaamd ' Манифест.docx .' Het document lijkt in twee varianten te komen, die enigszins verschillende technieken gebruiken om een embedded payload uit te voeren - de VBA RAT.

Het doel van de Trojan is om informatie te verzamelen over het gecompromitteerde systeem en om te communiceren met het bestandssysteem. De operators kunnen het implantaat opdracht geven om bestanden te verwijderen, bestanden te uploaden/downloaden en te controleren welke antivirussoftware op de computer van het slachtoffer draait. Een van de interessante bevindingen met betrekking tot de VBA RAT-campagne is dat de aanvallers gebruikmaken van een Internet Explorer-exploit, die eerder werd gebruikt door de Lazarus Hacking Group . Het is echter hoogst onwaarschijnlijk dat de dreigingsactoren achter de VBA RAT iets gemeen hebben met de beruchte Lazarus APT.

VBA RAT controleert regelmatig op nieuwe instructies

De manier waarop de VBA RAT de opdracht ontvangt, is ook enigszins uniek. In plaats van constant naar commando's te luisteren, gebruikt het een klein script dat elke 10 minuten wordt geactiveerd. Als er 10 minuten verstrijken, neemt het implantaat contact op met de command-and-control-server en controleert het op nieuwe commando's - als er niets is, herhaalt het de taak na nog tien minuten.

De malware wordt beheerd via een webgebaseerd controlepaneel, dat informatie bevat over de slachtoffers die momenteel online zijn: locatie, IP-adres, besturingssysteem en meer. Het is hoogst onwaarschijnlijk dat de VBA RAT zal worden gebruikt tegen reguliere inwoners van Rusland of Oekraïne - in plaats daarvan zijn de primaire doelen waarschijnlijk personen die betrokken zijn bij het Krim-conflict.

Desalniettemin kunnen aanvallen zoals die van de VBA RAT worden gestopt door een up-to-date anti-malware softwarepakket te gebruiken.

August 5, 2021
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.