PowerShell RAT

Els investigadors de ciberseguretat han identificat una nova RAT (amenaça d'accés remot) que els ciberdelinqüents han aprofitat contra objectius a Alemanya. El troià està sent rastrejat com a PowerShell RAT i s'està desplegant a través de llocs web corruptes que utilitzen la guerra d'Ucraïna com a esquer.

El PowerShell RAT està equipat amb la funcionalitat típica que s'espera d'amenaces d'aquest tipus. Un cop desplegat als sistemes de destinació, comença a recollir dades rellevants del dispositiu. Com el seu nom indica, les funcions principals de l'amenaça giren al voltant de l'execució d'ordres d'script de PowerShell. A més, els actors de l'amenaça poden exfiltrar els fitxers escollits del sistema violat o desplegar-hi càrregues útils addicionals. Això permet als atacants ampliar les seves capacitats dins del sistema, depenent dels seus objectius. Poden descarregar i executar troians addicionals, amenaces de ransomware, criptominedors, etc.

El lloc web d'esquer que difon el PowerShell RAT està dissenyat per assemblar-se molt al lloc web de l'estat alemany de Baden-Württemberg. Els actors de l'amenaça fins i tot van utilitzar un domini: collaboration-bw(dot)de, que s'havia associat prèviament amb el lloc oficial. A la pàgina falsa, els usuaris tindrien informació precisa sobre els esdeveniments relatius a la guerra a Ucraïna. El lloc intentarà convèncer els seus visitants perquè baixin un fitxer anomenat "2022-Q2-Bedrohungslage-Ukraine.chm.txt". Un cop obert, el fitxer mostrarà un missatge d'error fals sobre un suposat problema, mentre que un script compromès s'executarà en segon pla en silenci. L'script iniciarà la cadena d'infecció de PowerShell RAT.