Programari maliciós VileRAT

El programari maliciós VileRAT és una amenaça potent utilitzada pels ciberdelinqüents per apuntar als corredors d'intercanvi de moneda estrangera i criptomoneda. S'han identificat organitzacions orientades o compromeses en una àmplia gamma d'ubicacions geogràfiques, com ara Kuwait, els Emirats Àrabs Units, la Federació de Rússia, Alemanya, Bulgària i més.

Segons un informe publicat per experts en programari maliciós, VileRAT s'ha atribuït al grup de delinqüència cibernètica DeathStalker , una organització que es creu que ofereix serveis de pirateria per lloguer. La campanya VilerRAT mostra les capacitats millorades de DeathStalker per evitar la detecció mitjançant l'ús d'ofuscacions d'última generació, multicapa, així com embalatge de capa baixa, carregador PE en memòria amb execució en diverses etapes i fins i tot bypass heurístics dissenyats per enganyar solucions de seguretat específiques. Tanmateix, la càrrega útil final de VileRAT encara té una mida massiva de 10 MB.

Un cop s'ha executat el RAT (troià d'accés remot) al sistema violat, permet als actors de l'amenaça executar ordres arbitràries mitjançant el símbol del sistema. Els pirates informàtics també poden descarregar fitxers o càrregues addicionals, executar fitxers escollits, manipular el sistema de fitxers, matar processos, obrir llocs web i molt més. VileRAT pot establir rutines de registre de tecles per obtenir informació sensible, com ara credencials del compte, dades d'inici de sessió, dades de pagament, etc.

Per garantir la seva presència continuada al sistema infectat, VileRAT activa un mecanisme de persistència mitjançant la creació de tasques programades mitjançant el Programador de tasques de Windows. Els pirates informàtics de DeathStalker poden enviar actualitzacions de l'amenaça des del servidor de comandament i control de l'operació.