VileRAT Malware

VileRAT Malware er en potent trussel, der bruges af cyberkriminelle til at målrette mod udenlandsk valuta og cryptocurrency-udvekslingsmæglere. Målrettede eller kompromitterede organisationer er blevet identificeret på tværs af en bred vifte af geografiske steder, herunder Kuwait, UAE, Den Russiske Føderation, Tyskland, Bulgarien og mere.

Ifølge en rapport udgivet af malware-eksperter er VileRAT blevet tilskrevet DeathStalker cybercrime group, en organisation, der menes at tilbyde hacking-for-hire-tjenester. VilerRAT-kampagnen udviser DeathStalkers forbedrede evner til at undgå detektion gennem brug af avancerede obfuskationer, flerlags- såvel som lavlagspakning, in-memory PE-loader med flertrinsudførelse og endda heuristiske bypass designet til at narre specifikke sikkerhedsløsninger. Den endelige VileRAT-nyttelast er dog stadig på en massiv størrelse på 10 MB.

Når først RAT (Remote Access Trojan) er blevet udført på det brudte system, giver det trusselsaktører mulighed for at udføre vilkårlige kommandoer via kommandoprompt. Hackerne kan også downloade yderligere filer eller nyttelast, eksekvere valgte filer, manipulere filsystemet, dræbe processer, åbne websteder og mere. VileRAT kan etablere keylogging-rutiner for at indhente følsomme oplysninger, såsom kontooplysninger, log-in detaljer, betalingsdata osv.

For at sikre dets fortsatte tilstedeværelse på det inficerede system, aktiverer VileRAT en persistensmekanisme ved at oprette planlagte opgaver via Windows Task Scheduler. DeathStalker-hackerne kan skubbe opdateringer til truslen fra operationens Command-and-Control-server.