出于经济动机的威胁行为者使用克林贡 RAT
网络犯罪分子和恶意软件开发人员会尝试各种技巧和创新,试图让他们的植入物或操作更难以被发现。在过去三年中,大量使用 Google Go 语言 (Golang) 开发的新建恶意软件大量涌入。Golang 类似于 C 编程语言,之所以受到网络犯罪分子的青睐,原因只有一个——这可能有助于他们混淆自动安全工具并诱使它们允许执行恶意代码。滥用 Golang 的新威胁之一称为 Klingon RAT(远程访问木马)。
用于窃取财务信息的定制克林贡 RAT
Klingon RAT 的创建者似乎私下使用它,他们不太可能与其他网络犯罪组织共享它。 Klingon RAT 的主要目的是从受感染的系统中获取财务数据,并最终允许运营商窃取资金或进行欺诈交易。 Klingon RAT 还具有终止 Windows 特定安全功能以及某些防病毒工具进程的能力。不幸的是,关于用于传播克林贡 RAT 有效载荷的确切技巧和方法的信息不足。
一旦 Klingon RAT 成功渗透到系统中,它就会将其文件放入 %APPDATA% 子文件夹中。某些 RAT 实例似乎通过使用听起来合法的名称(如“updater10.exe”)来隐藏其组件。然后,威胁通过设置注册表运行键或创建新的计划任务来获得持久性。
Klingon RAT 的一个特殊之处在于它滥用多个已知漏洞来绕过 Windows 用户帐户控制 (UAC)——它从最流行的方法开始,如果前一个漏洞利用失败,则继续进行下一个漏洞利用。与商业远程访问木马相比,克林贡 RAT 的功能并不引人注目。其操作员可以通过提升权限执行 PowerShell 命令、更新有效负载、打开远程桌面连接或部署其他恶意软件。这足以帮助犯罪分子达到他们的目标。
通过使用信誉良好的反恶意软件套件和防火墙服务,采取预防措施来保护自己免受克林贡 RAT 的侵害。此外,让自己熟悉最常见的安全 Web 浏览技巧,这可以帮助您远离可能有害的文件和网站。