ApolloRAT

ApolloRAT, jak sama nazwa wskazuje, jest trojanem zdalnego dostępu (RAT). Zagrożenie zostało stworzone przy użyciu języka programowania Python i jest wyposażone w duży zestaw szkodliwych funkcji. Podobnie jak większość zagrożeń tego typu, ApolloRAT może zapewnić atakującym zdalny dostęp do naruszonego urządzenia. Następnie hakerzy mogą przystąpić do wykonywania dowolnych poleceń powłoki w systemie, spowodować jego zamknięcie lub ponowne uruchomienie, a nawet wywołać krytyczny błąd systemu.

W zależności od konkretnych celów atakujących, ApolloRAT może zostać poinstruowany, aby zebrać ogromne ilości danych z zainfekowanego systemu. Zgromadzone dane mogą obejmować adres IP, historię przeglądania, hasła Wi-Fi, hasła wydobyte z przeglądarek ofiary i inne. Złośliwe oprogramowanie może również manipulować systemem plików, pobierając dodatkowe pliki lub przesyłając wybrane pliki, umożliwiając cyberprzestępcom dostarczanie następnych niebezpiecznych ładunków do urządzenia lub uzyskiwanie wrażliwych i poufnych danych. ApolloRAT może również robić zrzuty ekranu, wyświetlać wiadomości lub odtwarzać dźwięk z tekstu na mowę. Cyberprzestępcy mogą wykorzystywać ApolloRAT jako część schematów phishingowych. Malware może wyświetlać fałszywe interfejsy aplikacji lub dokumenty PDF.

Należy zauważyć, że ApolloRAT posiada kilka technik antydetekcyjnych. Po pierwsze, jest skompilowany za pomocą kompilatora Nuitka, co znacznie utrudnia odwrotną inżynierię, ponieważ Nuitka nie jest powszechnym wyborem wśród cyberprzestępców. Zagrożenie może skanować w poszukiwaniu oznak uruchomienia w środowisku wirtualnym, wyłączać program Windows Defender i zaporę sieciową, a także Menedżera zadań systemu Windows. Wykorzystanie platformy komunikacyjnej Discord jako serwera Command-and-Control (C&C) dodatkowo utrudnia wykrywanie złośliwego oprogramowania.