Зловреден софтуер VileRAT

Зловредният софтуер VileRAT е мощна заплаха, използвана от киберпрестъпниците за насочване към брокери за обмен на чуждестранна валута и криптовалута. Целеви или компрометирани организации са идентифицирани в широк диапазон от географски местоположения, включително Кувейт, ОАЕ, Руската федерация, Германия, България и др.

Според доклад, публикуван от експерти по зловреден софтуер, VileRAT се приписва на групата за киберпрестъпления DeathStalker , организация, за която се смята, че предлага услуги за хакване срещу наемане. Кампанията VilerRAT показва подобрените възможности на DeathStalker за избягване на откриване чрез използването на най-съвременни обфускации, многослойно, както и нискослойно опаковане, PE зареждане в паметта с многоетапно изпълнение и дори евристични байпасове, предназначени да заблуждават конкретни решения за сигурност. Въпреки това, крайният полезен товар на VileRAT все още е с огромен размер от 10 MB.

След като RAT (троянски кон за отдалечен достъп) бъде изпълнен на пробитата система, той позволява на участниците в заплахата да изпълняват произволни команди чрез командния ред. Хакерите също могат да изтеглят допълнителни файлове или полезни товари, да изпълняват избрани файлове, да манипулират файловата система, да убиват процеси, да отварят уебсайтове и много други. VileRAT може да установи рутинни процедури за записване на клавиши, за да получи чувствителна информация, като идентификационни данни за акаунт, данни за влизане, данни за плащане и др.

За да гарантира непрекъснатото си присъствие в заразената система, VileRAT активира механизъм за устойчивост, като създава планирани задачи чрез Windows Task Scheduler. Хакерите на DeathStalker могат да изпращат актуализации на заплахата от командно-контролния сървър на операцията.