Вредоносное ПО VileRAT, используемое для атак на компании, занимающиеся торговлей криптовалютами

VileRAT — это название многофункционального вредоносного ПО, которое использовалось для нападения на ряд организаций, расположенных в странах Европы и Ближнего Востока, в течение последних 12 месяцев.

VileRAT несет ответственность за атаки в первую очередь на организации и организации, занимающиеся торговлей иностранной валютой и криптовалютой. Вредоносное ПО связано с злоумышленником, известным под псевдонимом DeathStalker.

VileRAT использует цепочку заражения, которая обычно начинается с вредоносного файла Office. Заражение основано на внедрении вредоносных макросов из удаленного шаблона DOTM.

Следующим шагом в цепочке является компонент вредоносного ПО VileDropper, который использует запутанный код JavaScript, используемый для доставки модуля VileLoader. В конечном счете, VileLoader отвечает за загрузку и выполнение окончательной полезной нагрузки VileRAT.

Сам VileRAT имеет в своем распоряжении очень универсальный набор инструментов. Он может выполнять произвольные команды, регистрировать нажатия клавиш, устанавливать постоянство с помощью запланированных задач, составлять список антивирусного программного обеспечения, установленного в системе-жертве, и обновлять себя со своих серверов управления и контроля, а также удалять файлы.

VileRAT использовался в атаках на цели, расположенные в нескольких европейских странах, включая Россию, а также на цели в Кувейте и Объединенных Арабских Эмиратах.