Malware VileRAT usado para atacar empresas de negociação de criptomoedas
VileRAT é o nome de um malware multifuncional que foi usado para atingir várias entidades localizadas em países da Europa e do Oriente Médio ao longo dos últimos 12 meses.
A VileRAT foi responsável por ataques principalmente a entidades e organizações comerciais de câmbio e criptomoedas. O malware está vinculado ao agente de ameaças conhecido pelo pseudônimo de DeathStalker.
O VileRAT usa uma cadeia de infecção que geralmente começa com um arquivo malicioso do Office. A infecção depende da injeção de macros maliciosas injetadas de um modelo DOTM remoto.
A próxima etapa da cadeia envolve o componente VileDropper do malware, que se baseia no código JavaScript ofuscado usado para entregar o módulo VileLoader. Em última análise, o VileLoader é responsável por baixar e executar a carga útil final do VileRAT.
O próprio VileRAT tem um kit de ferramentas muito versátil à sua disposição. Ele pode executar comandos arbitrários, registrar pressionamentos de tecla, estabelecer persistência por meio de tarefas agendadas, listar software antimalware instalado no sistema da vítima e atualizar-se a partir de seus servidores de comando e controle, além de excluir arquivos.
O VileRAT tem sido usado em ataques a alvos localizados em vários países europeus, incluindo a Rússia, bem como contra alvos no Kuwait e nos Emirados Árabes Unidos.