Zmotywowani finansowo podmioty zajmujące się zagrożeniem używają klingońskiego RAT

Cyberprzestępcy i twórcy złośliwego oprogramowania eksperymentują z różnego rodzaju sztuczkami i innowacjami, próbując utrudnić wykrycie swoich implantów lub operacji. W ciągu ostatnich trzech lat nastąpił napływ nowo stworzonego szkodliwego oprogramowania, które zostało opracowane przy użyciu języka Google Go (Golang). Golang, podobny do języka programowania C, jest preferowany przez cyberprzestępców z jednego tylko powodu – może pomóc im w zmyleniu automatycznych narzędzi bezpieczeństwa i nakłonić je do umożliwienia wykonania złośliwego kodu. Jednym z nowych zagrożeń nadużywających Golanga jest Klingon RAT (trojan zdalnego dostępu).

Niestandardowy klingoński RAT używany do kradzieży informacji finansowych

Wydaje się, że twórcy Klingon RAT używają go prywatnie i raczej nie będą udostępniać go innym organizacjom cyberprzestępczym. Głównym celem Klingon RAT jest pozyskiwanie danych finansowych z zaatakowanego systemu i, ostatecznie, umożliwienie operatorom kradzieży pieniędzy lub wykonywania nieuczciwych transakcji. Klingon RAT posiada również możliwość zakończenia określonych funkcji bezpieczeństwa systemu Windows, a także procesów niektórych narzędzi antywirusowych. Niestety, nie ma wystarczających informacji na temat dokładnych sztuczek i metod używanych do propagowania ładunku Klingon RAT.

Gdy klingoński RAT pomyślnie zinfiltruje system, umieści swoje pliki w podfolderze %APPDATA%. Niektóre instancje RAT ukrywają swoje komponenty, używając legalnie brzmiących nazw, takich jak „updater10.exe”. Zagrożenie zyskuje następnie trwałość, konfigurując klucze uruchamiania rejestru lub tworząc nowe zaplanowane zadanie.

Jedną z osobliwych cech Klingon RAT jest to, że wykorzystuje on wiele znanych luk w zabezpieczeniach, aby ominąć kontrolę konta użytkownika systemu Windows (UAC) – zaczyna się od najpopularniejszej metody, a następnie przechodzi do następnego exploita, jeśli poprzedni się nie powiedzie. Funkcjonalność klingońskiego RAT nie jest spektakularna w porównaniu z komercyjnymi trojanami zdalnego dostępu. Jego operatorzy mogą wykonywać polecenia PowerShell poprzez eskalowane uprawnienia, aktualizować ładunek, otwierać połączenie z pulpitem zdalnym lub wdrażać dodatkowe złośliwe oprogramowanie. To więcej niż wystarcza, aby pomóc przestępcom osiągnąć ich cele.

Podejmij środki zapobiegawcze, aby chronić się przed klingońskim RAT, korzystając z renomowanego pakietu oprogramowania chroniącego przed złośliwym oprogramowaniem i usług zapory. Ponadto zapoznaj się z najbardziej ogólnymi wskazówkami dotyczącymi bezpiecznego przeglądania sieci Web, które mogą pomóc w unikaniu potencjalnie szkodliwych plików i witryn internetowych.