Microsoft emite aviso para novos setores de segmentação de RAT
A Microsoft Security Intelligence publicou uma série de tweets, alertando para a disseminação de uma nova variedade de malware que visa as indústrias aeroespacial e de viagens. O malware em questão foi denominado RevengeRAT.
Um RAT ou um Trojan de acesso remoto é um tipo de malware que permite que agentes mal-intencionados obtenham um controle considerável sobre um sistema ou rede infectada. Os RATs geralmente incluem um componente backdoor que permite que os hackers enviem comandos e executem códigos no sistema da vítima sem serem detectados pelo maior tempo possível.
O novo RevengeRAT, também chamado de AsyncRAT, está sendo espalhado principalmente por meio de e-mails de spear-phishing. Spear-phishing é o método de envio de e-mail malicioso, mascarando o e-mail para que pareça ter sido enviado de uma fonte confiável, geralmente alguém que o destinatário já conhece e confia.
Ao contrário do phishing normal, em que os e-mails são enviados em campanhas de spam em massa, o spear-phishing tende a ser uma abordagem mais direcionada, com foco em um negócio, organização ou entidade específica.
Os e-mails maliciosos que espalham o RevengeRAT têm um anexo mascarado como um arquivo Adobe PDF, enquanto na realidade é um arquivo Visual Basic, carregado de scripts maliciosos. Depois que o script é executado, ele implanta a carga útil RAT. O arquivo malicioso no arquivo anexado geralmente abusa de serviços da Web legítimos e contém um link para o arquivo de script do Visual Basic.
A empresa de segurança Morphisec, citada nos tweets da Microsoft, nomeou o carregador usado na implantação do RevengeRAT de "Snip3". Um fato curioso sobre o carregador é que ele ignora totalmente a implantação do componente Trojan de acesso remoto se descobrir que está sendo executado em um Windows Sandbox ou em outro ambiente de máquina virtual que pode ser usado como um sandbox para captura de malware.
O RevengeRAT tem a capacidade de exfiltrar credenciais de login, capturar screenshots e acessar webcams e espiar o conteúdo da área de transferência.
Uma vez que o RAT tenha sido implantado no sistema da vítima, ele contata seu servidor de comando e controle, usando um site de hospedagem dinâmico e, em seguida, abusou do PowerShell e de métodos sem arquivo para obter e implantar três outras cargas úteis de links públicos em sites como o Pastebin.
As palavras-chave e o ângulo usados nos e-mails de spear-phishing usados pelos malfeitores que executam as campanhas atuais do RevengeRAT são direcionados aos trabalhadores dos setores de viagens e aeroespacial, de acordo com a Microsoft.
Os tweets observaram ainda que o Defender da Microsoft pode detectar os componentes separados desse malware e reagir a cada estágio do ataque.
