Microsoft выдает предупреждение для новых отраслей, нацеленных на RAT
Служба безопасности Майкрософт опубликовала серию твитов с предупреждением о распространении нового штамма вредоносного ПО, нацеленного на авиакосмическую и туристическую отрасли. Рассматриваемая вредоносная программа получила название RevengeRAT.
RAT или троянец удаленного доступа - это тип вредоносного ПО, которое позволяет злоумышленникам получить значительный контроль над зараженной системой или сетью. RAT обычно включают компонент бэкдора, который позволяет хакерам отправлять команды и выполнять код в системе жертвы, оставаясь незамеченными как можно дольше.
Новый RevengeRAT, также называемый AsyncRAT, распространяется в основном с использованием целевых фишинговых писем. Целевой фишинг - это метод отправки вредоносной почты, маскировки электронной почты, чтобы она выглядела так, как если бы она была отправлена из надежного источника, обычно кого-то, кого получатель уже знает и которому доверяет.
В отличие от обычного фишинга, когда электронные письма рассылаются в рамках массовых спам-кампаний, целевой фишинг, как правило, является более узконаправленным подходом, ориентированным на конкретный бизнес, организацию или субъект.
Вредоносные электронные письма, распространяющие RevengeRAT, имеют вложение, замаскированное под файл Adobe PDF, в то время как на самом деле это файл Visual Basic, загруженный вредоносными скриптами. После выполнения скрипт развертывает полезную нагрузку RAT. Вредоносный файл в прикрепленном файле обычно нарушает законные веб-службы и содержит ссылку на файл сценария Visual Basic.
Охранная компания Morphisec, цитируемая в твитах Microsoft, назвала загрузчик, использованный при развертывании RevengeRAT, «Snip3». Любопытный факт о загрузчике заключается в том, что он полностью пропускает развертывание троянского компонента удаленного доступа, если обнаруживает, что он выполняется в изолированной программной среде Windows или другой среде виртуальной машины, которая может использоваться в качестве песочницы для обнаружения вредоносных программ.
RevengeRAT имеет возможность извлекать учетные данные для входа, делать снимки экрана, получать доступ к веб-камерам и просматривать содержимое буфера обмена.
После развертывания RAT в системе жертвы он связывается со своим сервером управления и контроля, используя сайт динамического хостинга, а затем злоупотребляет PowerShell и бесфайловыми методами, чтобы захватить и развернуть еще три полезные нагрузки из общедоступных ссылок на таких сайтах, как Pastebin.
По словам Microsoft, ключевые слова и ракурс, используемые в электронных письмах с целевым фишингом, которые используются злоумышленниками, ведущими текущие кампании RevengeRAT, ориентированы на работников туристического и аэрокосмического секторов.
В твитах также отмечалось, что Защитник Microsoft может обнаруживать отдельные компоненты этого вредоносного ПО и реагировать на каждом этапе атаки.