PowerShell RAT

Cybersikkerhedsforskere har identificeret en ny RAT (Remote Access Threat), som cyberkriminelle har udnyttet mod mål i Tyskland. Trojaneren bliver sporet som PowerShell RAT, og den bliver implementeret via korrupte websteder, der bruger krigen i Ukraine som et lokkemiddel.

PowerShell RAT er udstyret med den typiske funktionalitet, der forventes af trusler af denne type. Når den er installeret på de målrettede systemer, begynder den at indsamle relevante enhedsdata. Som navnet antyder, drejer truslens primære funktioner sig om at udføre PowerShell-scriptkommandoer. Derudover kan trusselsaktørerne eksfiltrere valgte filer fra det brudte system eller installere yderligere nyttelast på det. Dette giver angriberne mulighed for at udvide deres muligheder i systemet, afhængigt af deres mål. De kan downloade og udføre yderligere trojanske heste, ransomware-trusler, crypto-minere osv.

Lokkewebstedet, der spreder PowerShell RAT, er designet til at ligne det tyske statswebsted i Baden-Württemberg. Trusselsaktørerne brugte endda et domæne - collaboration-bw(dot)de, som tidligere har været forbundet med det officielle websted. På den falske side ville brugerne blive præsenteret for nøjagtige oplysninger om begivenhederne vedrørende krigen i Ukraine. Siden vil forsøge at overbevise sine besøgende om at downloade en fil med navnet '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Når først den er åbnet, vil filen vise en falsk fejlmeddelelse om et formodet problem, mens et kompromitteret script vil blive udført i baggrunden lydløst. Scriptet vil starte PowerShell RAT's infektionskæde.