Ostrzeżenie firmy Microsoft dotyczące nowych branż docelowych RAT

Firma Microsoft Security Intelligence opublikowała serię tweetów ostrzegających przed rozprzestrzenianiem się nowego szczepu złośliwego oprogramowania, które atakuje przemysł lotniczy i turystyczny. To złośliwe oprogramowanie zostało nazwane RevengeRAT.

Trojan RAT lub trojan zdalnego dostępu to rodzaj złośliwego oprogramowania, które umożliwia złym aktorom uzyskanie znacznej kontroli nad zainfekowanym systemem lub siecią. RATy zwykle zawierają komponent backdoora, który umożliwia hakerom wysyłanie poleceń i wykonywanie kodu w systemie ofiary, pozostając niewykrytym tak długo, jak to możliwe.

Nowy RevengeRAT, zwany także AsyncRAT, jest rozpowszechniany głównie za pomocą e-maili typu spear-phishing. Spear-phishing to metoda wysyłania złośliwej poczty, maskowania wiadomości e-mail tak, aby wyglądała, jakby została wysłana z zaufanego źródła, zwykle kogoś, kogo odbiorca już zna i któremu ufa.

W przeciwieństwie do zwykłego phishingu, w przypadku którego wiadomości e-mail są wysyłane w kampaniach masowego spamu, phishing typu spear jest zwykle bardziej zawężonym podejściem, koncentrującym się na określonej firmie, organizacji lub podmiocie.

Szkodliwe e-maile rozprzestrzeniające RevengeRAT mają załącznik udający plik Adobe PDF, podczas gdy w rzeczywistości jest to plik Visual Basic, obciążony złośliwymi skryptami. Po wykonaniu skryptu wdraża ładunek RAT. Szkodliwy plik w załączonym pliku zwykle narusza legalne usługi internetowe i zawiera odsyłacz do pliku skryptu Visual Basic.

Firma ochroniarska Morphisec, cytowana w tweetach Microsoftu, nazwała program ładujący używany we wdrożeniu RevengeRAT „Snip3”. Ciekawostką dotyczącą programu ładującego jest to, że całkowicie pomija wdrażanie komponentu trojana dostępu zdalnego, jeśli wykryje, że jest on wykonywany w środowisku Windows Sandbox lub innym środowisku maszyny wirtualnej, które może być używane jako piaskownica wyłapująca złośliwe oprogramowanie.

RevengeRAT ma możliwość wydobywania danych logowania, przechwytywania zrzutów ekranu i dostępu do kamer internetowych oraz wglądu do zawartości schowka.

Gdy RAT zostanie wdrożony w systemie ofiary, kontaktuje się z serwerem dowodzenia i kontroli, korzystając z dynamicznej witryny hostingowej, a następnie nadużywa PowerShell i metod bezplikowych, aby pobrać i wdrożyć trzy kolejne ładunki z publicznych linków w witrynach takich jak Pastebin.

Według Microsoftu słowa kluczowe i kąt używane w e-mailach typu spear-phishing używanych przez złych aktorów prowadzących obecne kampanie RevengeRAT są skierowane w stronę pracowników sektora podróży i lotnictwa.

W tweetach odnotowano ponadto, że program Microsoft Defender może wykryć oddzielne składniki tego złośliwego oprogramowania i reagować na każdym etapie ataku.