Malware VileRAT

Malware VileRAT je silná hrozba, kterou používají kyberzločinci k zacílení na makléře směnáren v cizích měnách a kryptoměnách. Cílené nebo kompromitované organizace byly identifikovány v celé řadě geografických oblastí, včetně Kuvajtu, Spojených arabských emirátů, Ruské federace, Německa, Bulharska a dalších.

Podle zprávy zveřejněné experty na malware byl VileRAT připsán kyberzločinecké skupině DeathStalker , organizaci, o které se předpokládá, že nabízí služby hacking-for-hire. Kampaň VilerRAT ukazuje vylepšené schopnosti DeathStalkeru, aby se zabránilo detekci pomocí nejmodernějších obfuskací, vícevrstvého i nízkovrstvého balení, zavaděče PE v paměti s vícestupňovým prováděním a dokonce i heuristických bypassů navržených tak, aby oklamat konkrétní bezpečnostní řešení. Konečné užitečné zatížení VileRAT však stále sedí na obrovských 10 MB.

Jakmile je na prolomeném systému spuštěn RAT (Remote Access Trojan), umožňuje aktérům hrozby provádět libovolné příkazy prostřednictvím příkazového řádku. Hackeři si také mohou stáhnout další soubory nebo užitečné zatížení, spouštět vybrané soubory, manipulovat se systémem souborů, zabíjet procesy, otevírat webové stránky a další. VileRAT může zavést rutiny keyloggingu pro získání citlivých informací, jako jsou přihlašovací údaje k účtu, přihlašovací údaje, platební údaje atd.

Aby byla zajištěna jeho trvalá přítomnost na infikovaném systému, aktivuje VileRAT mechanismus perzistence vytvářením naplánovaných úloh prostřednictvím Plánovače úloh systému Windows. Hackeři DeathStalker mohou posílat aktualizace hrozby ze serveru Command-and-Control operace.