ReverseRat，一种针对印度实体的巴基斯坦木马

印度和巴基斯坦之间的网络战仍在继续。这一次，一个不知名的巴基斯坦威胁参与者一直在使用一种名为 ReverseRat 的新型恶意软件来破坏印度电力公司的网络安全。这种新威胁通常与其他有效载荷结合使用，其主要目的似乎是数据窃取和侦察。虽然 ReverseRat 的功能不是很先进，但它包含了足够多的功能，允许其操作员在他们妥协的系统上执行各种任务。

ReverseRat 受雇于攻击印度电力公司

到目前为止，研究人员还无法确定犯罪分子用来传送植入物的确切方法，但他们很可能依赖电子邮件附件。如果用户最终与可疑电子邮件进行交互，则可能会提示他们下载文件附件或托管在外部站点上的文件。有问题的文件通常是 ZIP 存档，其中包含 LNK 或 PDF 文件。如果用户授予它们某些权限，这两个文件可以执行恶意代码。这些伪造文件的主题可能会有所不同，但犯罪分子似乎专注于能源部门的特定主题，或与 COVID-19 疫苗相关的主题。

ReverseRat 包含大量功能

在运行之前，ReverseRat 会收集一些关于它已经入侵的网络的基本信息——MAC 地址、IP 地址、硬件和软件配置以及计算机名称。运行后，它可以执行多项任务：

• 下载并启动可执行文件。
• 窃取文件。
• 运行一个新进程。
• 管理文件系统。
• 列出目录内容。
• 查看正在运行的进程并对其进行管理。
• 劫持剪贴板。
• 抓取屏幕截图。

ReverseRat 木马具有在内存中执行其某些组件的能力，因此最大限度地减少了它在受感染系统上留下的数据足迹。但是，它的攻击并非完全没有文件，信誉良好的防病毒产品应该很容易检测到这一点。