Финансово мотивированные участники угроз используют клингонскую крысу

Киберпреступники и разработчики вредоносных программ экспериментируют со всевозможными уловками и нововведениями, пытаясь усложнить обнаружение своих имплантатов или операций. За последние три года наблюдается приток новых вредоносных программ, которые были разработаны с использованием языка Google Go (Golang). Голанг, аналогичный языку программирования C, предпочитают киберпреступники по одной единственной причине - это может помочь им запутать автоматические инструменты безопасности и обманом заставляют их разрешить выполнение вредоносного кода. Одна из новых угроз, злоупотребляющих использованием Golang, называется Klingon RAT (троян удаленного доступа).

Специально созданная клингонская крыса, используемая для кражи финансовой информации

Создатели Klingon RAT, похоже, используют его в частном порядке, и вряд ли они поделятся им с другими организациями, занимающимися киберпреступностью. Основная цель Klingon RAT - получить финансовые данные из взломанной системы и, в конечном итоге, позволить операторам украсть деньги или выполнить мошеннические транзакции. Klingon RAT также обладает способностью отключать определенные функции безопасности Windows, а также процессы некоторых антивирусных инструментов. К сожалению, недостаточно информации о точных приемах и методах, используемых для распространения полезной нагрузки Klingon RAT.

Как только Klingon RAT успешно проникает в систему, он помещает свои файлы в подпапку% APPDATA%. Некоторые экземпляры RAT, кажется, скрывают свои компоненты, используя легитимно звучащие имена, такие как «updater10.exe». Затем угроза становится устойчивой за счет настройки ключей запуска реестра или создания новой запланированной задачи.

Одной из особенностей Klingon RAT является то, что он злоупотребляет множеством известных уязвимостей для обхода контроля учетных записей Windows (UAC) - он начинает с самого популярного метода, а затем переходит к следующему эксплойту, если предыдущий не работает. Функциональность Klingon RAT не впечатляет по сравнению с коммерческими троянами удаленного доступа. Его операторы могут выполнять команды PowerShell с помощью расширенных привилегий, обновлять полезную нагрузку, открывать подключение к удаленному рабочему столу или развертывать дополнительные вредоносные программы. Этого более чем достаточно, чтобы помочь преступникам достичь своих целей.

Примите превентивные меры, чтобы защитить себя от клингонской крысы, используя надежный антивирусный программный пакет и службы межсетевого экрана. Кроме того, ознакомьтесь с наиболее общими советами по безопасному просмотру веб-страниц, которые могут помочь вам держаться подальше от потенциально опасных файлов и веб-сайтов.