HævnRAT
RevengeRAT er en del af en truende malware-kampagne, der er rettet mod computerbrugere i Europa, Asien, Mellemøsten og Nordamerika. RevengeRAT distribueres gennem en række websider, der hostes på offentlige platforme som Blogspot og Pastebin, og bruger også disse sider som en del af RevengeRATs kommando- og kontrolinfrastruktur, der bruges til at udføre RevengeRAT-angreb. Rapporter om den seneste RevengeRAT-kampagne begyndte at vises i marts 2019, selvom RevengeRAT Trojan har eksisteret siden 2016. Denne aktuelle malware-kampagne, der er tilknyttet RevengeRAT, er blevet kendt som 'Aggah' og ser ud til at være målrettet mod store virksomheder og offentlige netværk.
Indholdsfortegnelse
Hvordan RevengeRAT Trojan angriber en computer
RevengeRAT Trojan har været tilgængelig for alle siden 2016, frigivet på hackingsfora. Når RevengeRAT er installeret, tillader RevengeRAT angriberen at kontrollere den inficerede computer langt væk. Med RevengeRAT kan kriminelle få adgang til filer på en computerenhed, køre hukommelsesprocesser og tjenester, spionere på ofrets aktiviteter og foretage ændringer i den berørte enhed. RevengeRAT tillader også kriminelle at få adgang til perifert udstyr, der er forbundet med den inficerede computer, for eksempel at give dem mulighed for at spore tastetryk på den inficerede computers tastatur eller få adgang til kameraet eller mikrofonen for at overvåge den inficerede computers omgivelser.
Hvordan RevengeRAT distribueres i Aggah-kampagnen
RevengeRAT er blevet distribueret på en lang række måder, siden den blev oprettet, som inkluderer typiske leveringsmetoder til malware, der er velkendte, såsom brug af vedhæftede filer i spam-e-mail eller beskadigede online-reklamer og beskadigede websteder. Den vigtigste måde, hvorpå RevengeRAT leveres i Aggah-kampagnen, er gennem beskadigede dokumenter, der bruger indlejrede makroer til at downloade og installere RevengeRAT på offerets computer. Indlejrede makroer, der er knyttet til denne kampagne, bruger indlæg på Blogspot til at hente et script, der bruger Pastebin-indhold til at downloade yderligere indhold, indtil RevengeRAT endelig er installeret og forbundet til sin Command and Control-server. Den oprindelige lokkefil, der begynder RevengeRAT-angrebet, kan være forklædt på forskellige måder og kan ændre sig afhængigt af offeret. En prøve, der blev observeret den 27. marts 2019, blev leveret i en falsk e-mail-besked fra en bank med emnelinjen 'Din konto er låst', hvilket nar offeret til at åbne den vedhæftede fil og tro, at det er et officielt dokument fra en bank.
Hvordan RevengeRAT inficerer en enhed
Når offeret åbner lokkefilen, viser det et billede for at narre offeret til at aktivere Microsoft Office-makroer. Når dette tillades at ske, kan RevengeRAT installeres på offerets computer via en proces med flere trin, der involverer forskellige, forskellige webadresser. Så snart RevengeRAT er installeret, deaktiverer denne Trojan Microsoft Defender og forsøger at deaktivere andet sikkerhedsindhold på offerets computer. RevengeRAT-varianten installeret i disse nylige angreb har tilnavnet 'Nuclear Explosion' og ser ud til at udføre et typisk bagdør RAT-angreb. Et link forbundet med RevengeRAT-distribution er blevet klikket næsten to tusind gange med mål i mere end tyve forskellige lande. Dette antyder, at det er meget sandsynligt, at RevengeRAT-angreb har været vellykkede med at nå frem til potentielt offer.
Beskyttelse af dine data fra RevengeRAT
Den bedste beskyttelse mod RAT'er som RevengeRAT Trojan er at have et sikkerhedsprodukt, der er fuldt opdateret på din computer. Bortset fra at have et pålideligt anti-malware-program, råder malware-forskere også computerbrugere til at sikre sig, at andre sikkerhedsenheder på deres computer er aktiveret, såsom en pålidelig firewall og et anti-spam-filter. PC-sikkerhedsforskere anbefaler at deaktivere makroer i Microsoft Office og undgå at downloade mistænkelige filer, især uønskede vedhæftede filer.
