Плъх VBA

Пълноценна VBA RAT беше открита като част от нова операция за атака срещу руски и проруски структури. Досега актьорът на заплахата не е окончателно определен и някои доказателства сочат, че това може да е нововъзникнала хакерска група. Заплахата от злонамерен софтуер се доставя до машините на жертвата чрез документ за примамка, съдържащ манифест за Крим, горещо оспорван регион между Русия и Украйна.

Един документ, два вектора на атака

Документът за примамка е наречен „Manifest.docx“ (Манифест.docx). Той се опитва да извлече и достави крайния полезен товар - VBA RAT, чрез не един, а два отделни вектора на инфекцията. Първо, базиран на макроси шаблон, насочен към URL адрес с отдалечен шаблон, който носи полезния товар на RAT. Вторият вектор злоупотребява с експлойт на Internet Explorer, обозначен като CVE-2021-26411. Уязвимостта позволява на участника на заплахата да изпълни shellcode, който разгръща същата VBA RAT заплаха.

Вредни способности

VBA RAT е оборудван с всички възможности, очаквани от този тип зловреден софтуер. Той събира данни за жертвата и ги ексфилтрира до нападателя. Той може да манипулира файловете (изтриване, качване или изтегляне), съхранявани в компрометираните системи, да чете дискове и друга системна информация. RAT също може да изпълнява произволни команди. За да се избегне лесното откриване от продукти срещу зловреден софтуер, заплахата избягва типичните API извиквания, използвани за изпълнение на шелкод. Вместо това VBA RAT прибягва до EnumWindows, за да постигне същите заплашителни цели.