PowerShell RAT

Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou hrozbu RAT (Remote Access Threat), kterou kyberzločinci použili proti cílům v Německu. Trojan je sledován jako PowerShell RAT a je nasazován prostřednictvím poškozených webových stránek pomocí války na Ukrajině jako návnady.

PowerShell RAT je vybaven typickou funkčností očekávanou od hrozeb tohoto typu. Po nasazení na cílené systémy začne shromažďovat relevantní data zařízení. Jak název napovídá, primární funkce hrozby se točí kolem provádění příkazů skriptu PowerShell. Kromě toho mohou aktéři hrozby exfiltrovat vybrané soubory z narušeného systému nebo na něj nasadit další užitečné zatížení. To umožňuje útočníkům rozšířit své schopnosti v rámci systému v závislosti na jejich cílech. Mohou stahovat a spouštět další trojské koně, hrozby ransomwaru, těžaře kryptoměn atd.

Webová stránka s návnadou šířící PowerShell RAT je navržena tak, aby se podobala německé státní webové stránce Bádensko-Württemberska. Aktéři hrozeb dokonce použili doménu – cooperation-bw(dot)de, která byla dříve spojena s oficiální stránkou. Na falešné stránce by se uživatelům zobrazovaly přesné informace o událostech týkajících se války na Ukrajině. Stránka se pokusí přesvědčit své návštěvníky, aby si stáhli soubor s názvem '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Po otevření se v souboru zobrazí falešná chybová zpráva o domnělém problému, zatímco kompromitovaný skript bude na pozadí tiše spuštěn. Skript zahájí infekční řetězec PowerShell RAT.