Microsoft utfärdar varning för nya RAT-målindustrier

Microsoft Security Intelligence publicerade en serie tweets, varnade för spridningen av en ny stam av skadlig kod som riktar sig till flyg- och resebranschen. Skadlig programvara i fråga har fått namnet RevengeRAT.

En RAT eller en fjärråtkomst Trojan är en typ av skadlig kod som gör att dåliga aktörer kan få betydande kontroll över ett infekterat system eller nätverk. RAT inkluderar vanligtvis en bakdörrkomponent som gör det möjligt för hackare att skicka kommandon och köra kod på offretsystemet medan de förblir oupptäckta så länge som möjligt.

Den nya RevengeRAT, även kallad AsyncRAT, sprids främst med hjälp av e-postmeddelanden med spjutfiske. Spear-phishing är metoden för att skicka skadlig e-post och maskerar e-postmeddelandet för att se ut som om det skickades från en betrodd källa, vanligtvis någon som mottagaren redan känner till och litar på.

Till skillnad från vanlig phishing där e-postmeddelanden skickas i masspamkampanjer tenderar spear-phishing att vara ett mer snävt riktat tillvägagångssätt med fokus på ett specifikt företag, organisation eller enhet.

De skadliga e-postmeddelandena som sprider RevengeRAT har en bilaga som maskeras som en Adobe PDF-fil, medan den i verkligheten är en Visual Basic-fil, laddad med skadliga skript. När skriptet har körts distribuerar det RAT-nyttolasten. Den skadliga filen i den bifogade filen missbrukar vanligtvis legitima webbtjänster och innehåller en länk till Visual Basic-skriptfilen.

Säkerhetsföretaget Morphisec, citerat i Microsofts tweets, namngav lastaren som användes vid distributionen av RevengeRAT "Snip3". Ett märkligt faktum om lastaren är att den hoppar över distributionen av fjärråtkomst Trojan-komponenten helt om den upptäcker att den körs i en Windows Sandbox eller annan virtuell maskinmiljö som kan användas som en skadlig sandlåda.

RevengeRAT har förmågan att exfiltrera inloggningsuppgifter, fånga skärmdumpar och komma åt webbkameror och titta in i urklippsinnehållet.

När RAT har distribuerats på offrets system, kontakter den sin kommando- och styrserver med hjälp av en dynamisk webbsajt och missbrukade sedan PowerShell och fillösa metoder för att ta tag i och distribuera ytterligare tre nyttolaster från offentligt vända länkar på webbplatser som Pastebin.

Nyckelorden och vinkeln som används i de spjutfiske-e-postmeddelanden som används av de dåliga aktörerna som driver de nuvarande RevengeRAT-kampanjerna är alla snedställda mot arbetare inom rese- och flygindustrin, enligt Microsoft.

Tweetsna noterade vidare att Microsofts Defender kan upptäcka de separata komponenterna i denna skadliga programvara och reagera i varje steg av attacken.