Złośliwe oprogramowanie VileRAT wykorzystywane do atakowania firm handlujących kryptowalutami

VileRAT to nazwa wielofunkcyjnego szkodliwego oprogramowania, które w ciągu ostatnich 12 miesięcy było wykorzystywane do atakowania wielu podmiotów zlokalizowanych w krajach Europy i Bliskiego Wschodu.

VileRAT odpowiadał za ataki głównie na podmioty i organizacje handlujące walutami i kryptowalutami. Szkodnik jest powiązany z cyberprzestępcą znanym pod pseudonimem DeathStalker.

VileRAT wykorzystuje łańcuch infekcji, który zwykle zaczyna się od złośliwego pliku pakietu Office. Infekcja polega na wstrzykiwaniu złośliwych makr wstrzykniętych ze zdalnego szablonu DOTM.

Następny etap łańcucha obejmuje komponent VileDropper szkodliwego oprogramowania, który opiera się na zaciemnionym kodzie JavaScript używanym do dostarczania modułu VileLoader. Ostatecznie VileLoader jest odpowiedzialny za pobranie i wykonanie ostatecznego ładunku VileRAT.

Sam VileRAT ma do dyspozycji bardzo wszechstronny zestaw narzędzi. Może wykonywać dowolne polecenia, rejestrować naciśnięcia klawiszy, ustalać trwałość zaplanowanych zadań, wyświetlać listę oprogramowania antywirusowego zainstalowanego w zaatakowanym systemie i aktualizować się ze swoich serwerów dowodzenia i kontroli, a także usuwać pliki.

VileRAT był używany w atakach na cele zlokalizowane w kilku krajach europejskich, w tym w Rosji, a także na cele w Kuwejcie i Zjednoczonych Emiratach Arabskich.