VileRAT-malware gebruikt om cryptohandelsbedrijven te targeten

VileRAT is de naam van een stukje multifunctionele malware die de afgelopen 12 maanden werd gebruikt om een aantal entiteiten in Europese en Midden-Oosterse landen aan te vallen.

VileRAT was verantwoordelijk voor aanvallen op voornamelijk valuta- en cryptocurrency-handelsentiteiten en -organisaties. De malware is gekoppeld aan de dreigingsactor die bekend staat onder de alias DeathStalker.

VileRAT gebruikt een infectieketen die gewoonlijk begint met een kwaadaardig Office-bestand. De infectie berust op het injecteren van kwaadaardige macro's die zijn geïnjecteerd vanaf een externe DOTM-sjabloon.

De volgende stap van de keten betreft de VileDropper-component van de malware, die vertrouwt op versluierde JavaScript-code die wordt gebruikt om de VileLoader-module te leveren. Uiteindelijk is VileLoader verantwoordelijk voor het downloaden en uitvoeren van de uiteindelijke VileRAT-payload.

VileRAT heeft zelf een zeer veelzijdige toolkit tot zijn beschikking. Het kan willekeurige commando's uitvoeren, toetsaanslagen loggen, persistentie tot stand brengen door middel van geplande taken, anti-malwaresoftware weergeven die op het slachtoffersysteem is geïnstalleerd en zichzelf updaten vanaf zijn commando- en controleservers, evenals bestanden verwijderen.

VileRAT is gebruikt bij aanvallen op doelen in verschillende Europese landen, waaronder Rusland, en op doelen in Koeweit en de Verenigde Arabische Emiraten.