ReverseRat, en pakistansk trojan som riktar sig till indiska enheter
Cyberkrigningen mellan Indien och Pakistan fortsätter. Den här gången har en okänd pakistansk hotskådespelare använt en ny skadlig kod, kallad ReverseRat, för att äventyra nätverkssäkerheten för Indiens baserade kraftföretag. Detta nya hot användes ofta i kombination med andra nyttolaster, och det verkar som att dess främsta syfte är att datastöld och spaning. Även om ReverseRats funktioner inte är särskilt avancerade, har den mer än tillräckligt med funktioner för att operatörerna ska kunna utföra alla typer av uppgifter på de system de kompromitterar.
ReverseRat anställd i attacker mot indiska kraftföretag
Hittills har forskare inte kunnat hitta de exakta metoder som brottslingarna använder för att leverera implantatet, men det är mycket troligt att de förlitar sig på e-postbilagor. Om en användare hamnar i det skuggiga e-postmeddelandet kan de uppmanas att ladda ner en filbilaga eller en fil som är värd på en extern webbplats. Filen i fråga är vanligtvis ett ZIP-arkiv som innehåller antingen en LNK- eller en PDF-fil. Dessa två filer kan köra skadlig kod om användaren ger dem vissa behörigheter. Ämnena i dessa falska dokument kan variera, men brottslingarna verkar fokusera på ämnen som är specifika för energisektorn eller relaterade till COVID-19-vaccinerna.
ReverseRat har ett rejält antal funktioner
Innan körning kommer ReverseRat att samla in lite grundläggande information om det nätverk som det har komprometterat - MAC-adress, IP-adress, hårdvaru- och programvarukonfiguration och datorns namn. När den har körts har den förmågan att utföra flera uppgifter:
- Ladda ner och starta körbara filer.
- Stjäla filer.
- Kör en ny process.
- Hantera filsystemet.
- Lista innehåll i katalogen.
- Visa körprocessen och hantera dem.
- Kapa urklipp.
- Ta tag i skärmdumpar.
ReverseRat Trojan har förmågan att köra några av dess komponenter i minnet, vilket minimerar datafotavtrycket som det lämnar på de system som det komprometterar. Men dess attack är inte helt fileless, och detta bör lätt kunna detekteras av ansedda antivirusprodukter.