PowerShell RAT

Kibernetinio saugumo tyrinėtojai nustatė naują RAT (Remote Access Threat), kurį kibernetiniai nusikaltėliai panaudojo prieš taikinius Vokietijoje. Trojos arklys yra sekamas kaip PowerShell RAT ir dislokuojamas per sugadintas svetaines, naudojant karą Ukrainoje kaip viliojimą.

„PowerShell RAT“ turi tipines funkcijas, kurių tikimasi iš tokio tipo grėsmių. Įdiegęs tikslinėse sistemose, jis pradeda rinkti atitinkamus įrenginio duomenis. Kaip rodo jo pavadinimas, pagrindinės grėsmės funkcijos yra susijusios su „PowerShell“ scenarijaus komandų vykdymu. Be to, grėsmės veikėjai gali išfiltruoti pasirinktus failus iš pažeistos sistemos arba įdiegti joje papildomų naudingųjų apkrovų. Tai leidžia užpuolikams išplėsti savo galimybes sistemoje, atsižvelgiant į jų tikslus. Jie gali atsisiųsti ir vykdyti papildomų Trojos arklių, išpirkos reikalaujančių programų, kriptovaliutų kasėjų ir kt.

Masalų svetainė, platinanti PowerShell RAT, sukurta taip, kad būtų labai panaši į Badeno-Viurtembergo Vokietijos valstijos svetainę. Pavojingi veikėjai netgi naudojo domeną – bendradarbiavimą-bw(dot)de, kuris anksčiau buvo susietas su oficialia svetaine. Suklastotame puslapyje vartotojams būtų pateikiama tiksli informacija apie įvykius, susijusius su karu Ukrainoje. Svetainė bandys įtikinti savo lankytojus atsisiųsti failą pavadinimu „2022-Q2-Bedrohungslage-Ukraine.chm.txt“. Atidarius failą, bus rodomas netikras klaidos pranešimas apie tariamą problemą, o pažeistas scenarijus bus tyliai vykdomas fone. Scenarijus inicijuos PowerShell RAT infekcijos grandinę.