VBA RAT alcança vítimas por meio do Manifesto pró-Crimeia
Uma nova peça de malware foi usada na batalha cibernética em andamento entre a Rússia e a Ucrânia sobre o conflito na Crimeia. A nova ameaça, batizada de VBA RAT, está sendo enviada por meio de e-mails de phishing, que contêm um documento com macro. O documento isca é um manifesto chamado ' Манифест.docx .' O documento parece vir em duas variações, que usam técnicas ligeiramente diferentes para executar uma carga útil incorporada - o VBA RAT.
O objetivo do Trojan é coletar informações sobre o sistema comprometido, bem como interagir com o sistema de arquivos. Seus operadores podem comandar o implante para excluir arquivos, fazer upload / download de arquivos e verificar qual software antivírus está sendo executado na máquina da vítima. Uma das descobertas interessantes relacionadas à campanha VBA RAT é que os invasores estão usando um exploit do Internet Explorer, anteriormente empregado pelo Lazarus Hacking Group . No entanto, é altamente improvável que os agentes de ameaça por trás do VBA RAT tenham algo em comum com o infame Lazarus APT.
VBA RAT verifica novas instruções periodicamente
A maneira como o VBA RAT recebe o comando também é um tanto única. Em vez de ouvir constantemente os comandos, ele usa um pequeno script que é disparado a cada 10 minutos. Após 10 minutos, o implante entra em contato com o servidor de comando e controle e verifica se há novos comandos - se não houver nada, ele repete a tarefa após mais dez minutos.
O malware está sendo gerenciado por meio de um painel de controle baseado na Web, que contém informações sobre as vítimas atualmente online - localização, endereço IP, sistema operacional e muito mais. É altamente improvável que o VBA RAT seja usado contra residentes regulares da Rússia ou da Ucrânia - em vez disso, seus alvos principais são provavelmente indivíduos envolvidos no conflito da Crimeia.
No entanto, ataques como o que o VBA RAT realiza podem ser interrompidos usando um pacote de software antimalware atualizado.