ReverseRat, um cavalo de Troia do Paquistão que visa entidades indianas
A guerra cibernética entre a Índia e o Paquistão continua. Desta vez, um desconhecido ator de ameaças do Paquistão está usando um novo malware, chamado ReverseRat, para comprometer a segurança da rede de empresas de energia baseadas na Índia. Essa nova ameaça costumava ser usada em combinação com outras cargas úteis e parece que seu objetivo principal é o roubo e o reconhecimento de dados. Embora os recursos do ReverseRat não sejam muito avançados, ele possui funcionalidade mais do que suficiente para permitir que seus operadores realizem todos os tipos de tarefas nos sistemas que comprometem.
ReverseRat empregado em ataques contra empresas de energia indianas
Até agora, os pesquisadores não conseguiram identificar os métodos exatos que os criminosos usam para entregar o implante, mas é muito provável que eles estejam contando com anexos de e-mail. Se um usuário acabar interagindo com o e-mail obscuro, ele pode ser solicitado a baixar um anexo de arquivo ou um arquivo hospedado em um site externo. O arquivo em questão é normalmente um arquivo ZIP, que contém um arquivo LNK ou PDF. Esses dois arquivos podem executar código malicioso se o usuário conceder a eles certas permissões. Os tópicos desses documentos falsos podem variar, mas os criminosos parecem estar se concentrando em assuntos específicos do setor de energia ou relacionados às vacinas COVID-19.
ReverseRat oferece um grande número de recursos
Antes de ser executado, o ReverseRat coletará algumas informações básicas sobre a rede comprometida - endereço MAC, endereço IP, configuração de hardware e software e o nome do computador. Uma vez executado, ele tem a capacidade de realizar várias tarefas:
- Baixe e inicie arquivos executáveis.
- Roube arquivos.
- Execute um novo processo.
- Gerenciar o sistema de arquivos.
- Lista o conteúdo do diretório.
- Visualize os processos em execução e gerencie-os.
- Sequestrar a área de transferência.
- Faça capturas de tela.
O Trojan ReverseRat possui a capacidade de executar alguns de seus componentes na memória, minimizando, portanto, a pegada de dados que deixa nos sistemas que compromete. No entanto, seu ataque não é totalmente sem arquivo e deve ser facilmente detectado por produtos antivírus confiáveis.