VileRAT Malware som används för att rikta in sig på kryptohandelsföretag
VileRAT är namnet på en del av multifunktionell skadlig programvara som användes för att rikta in sig på ett antal enheter i europeiska och Mellanösternländer under de senaste 12 månaderna.
VileRAT var ansvarigt för attacker främst mot valuta- och kryptovalutahandelsenheter och organisationer. Skadlig programvara är kopplad till hotaktören som är känd under aliaset DeathStalker.
VileRAT använder en infektionskedja som vanligtvis börjar med en skadlig Office-fil. Infektionen bygger på att skadliga makron injiceras från en fjärransluten DOTM-mall.
Nästa steg i kedjan involverar VileDropper-komponenten av skadlig programvara, som är beroende av obfuskerad JavaScript-kod som används för att leverera VileLoader-modulen. I slutändan är VileLoader ansvarig för att ladda ner och köra den slutliga VileRAT-nyttolasten.
VileRAT själv har en mycket mångsidig verktygslåda till sitt förfogande. Den kan köra godtyckliga kommandon, logga tangenttryckningar, etablera persistens genom schemalagda uppgifter, lista anti-skadlig programvara installerad på offrets system och uppdatera sig själv från dess kommando- och kontrollservrar, samt ta bort filer.
VileRAT har använts i attacker mot mål i flera europeiska länder, inklusive Ryssland, samt mot mål i Kuwait och Förenade Arabemiraten.