PowerShell RAT

حدد باحثو الأمن السيبراني RAT (تهديد الوصول عن بُعد) الجديد الذي استخدمه مجرمو الإنترنت ضد أهداف في ألمانيا. يتم تتبع حصان طروادة باعتباره PowerShell RAT ، ويتم نشره عبر مواقع الويب التالفة باستخدام الحرب في أوكرانيا كإغراء.

تم تجهيز PowerShell RAT بالوظيفة النموذجية المتوقعة من التهديدات من هذا النوع. بمجرد نشره على الأنظمة المستهدفة ، يبدأ في جمع بيانات الجهاز ذات الصلة. كما يوحي اسمها ، تدور الوظائف الأساسية للتهديد حول تنفيذ أوامر برنامج PowerShell النصي. بالإضافة إلى ذلك ، يمكن لممثلي التهديد إخراج الملفات المختارة من النظام المخترق أو نشر حمولات إضافية عليه. هذا يسمح للمهاجمين بتوسيع قدراتهم داخل النظام ، اعتمادًا على أهدافهم. يمكنهم تنزيل وتنفيذ برامج أحصنة طروادة الإضافية ، وتهديدات برامج الفدية ، وعمال التنقيب عن العملات المشفرة ، وما إلى ذلك.

تم تصميم موقع الويب الذي ينشر PowerShell RAT ليشبه موقع ولاية بادن فورتمبيرغ الألمانية. حتى أن الجهات الفاعلة في التهديد استخدمت مجالًا - التعاون- bw (نقطة) دي ، والذي سبق ربطه بالموقع الرسمي. على الصفحة المزيفة ، سيتم تزويد المستخدمين بمعلومات دقيقة حول الأحداث المتعلقة بالحرب في أوكرانيا. سيحاول الموقع إقناع زواره بتنزيل ملف باسم "2022-Q2-Bedrohungslage-Ukraine.chm.txt". بمجرد فتح الملف ، سيعرض رسالة خطأ مزيفة حول مشكلة مفترضة ، بينما سيتم تنفيذ نص مخترق في الخلفية بصمت. سيبدأ البرنامج النصي في سلسلة العدوى الخاصة بـ PowerShell RAT.