PowerShell RAT

Οι ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν μια νέα απειλή RAT (Remote Access Threat) που οι εγκληματίες του κυβερνοχώρου έχουν εκμεταλλευτεί εναντίον στόχων στη Γερμανία. Το Trojan παρακολουθείται ως το PowerShell RAT και αναπτύσσεται μέσω κατεστραμμένων ιστοσελίδων χρησιμοποιώντας τον πόλεμο στην Ουκρανία ως δέλεαρ.

Το PowerShell RAT είναι εξοπλισμένο με την τυπική λειτουργικότητα που αναμένεται από απειλές αυτού του τύπου. Μόλις αναπτυχθεί στα στοχευμένα συστήματα, αρχίζει να συλλέγει σχετικά δεδομένα συσκευής. Όπως υποδηλώνει το όνομά της, οι κύριες λειτουργίες της απειλής περιστρέφονται γύρω από την εκτέλεση εντολών σεναρίου PowerShell. Επιπλέον, οι φορείς της απειλής μπορούν να εξάγουν επιλεγμένα αρχεία από το σύστημα που έχει παραβιαστεί ή να αναπτύξουν επιπλέον ωφέλιμα φορτία σε αυτό. Αυτό επιτρέπει στους επιτιθέμενους να επεκτείνουν τις δυνατότητές τους εντός του συστήματος, ανάλογα με τους στόχους τους. Μπορούν να κατεβάσουν και να εκτελέσουν επιπλέον Trojans, απειλές ransomware, crypto-miners κ.λπ.

Ο ιστότοπος που διαδίδει το PowerShell RAT έχει σχεδιαστεί για να μοιάζει πολύ με τον ιστότοπο της γερμανικής πολιτείας Baden-Württemberg. Οι φορείς απειλών χρησιμοποίησαν ακόμη και έναν τομέα - collaboration-bw(dot)de, που είχε συσχετιστεί στο παρελθόν με τον επίσημο ιστότοπο. Στην ψεύτικη σελίδα, οι χρήστες θα λάμβαναν ακριβείς πληροφορίες σχετικά με τα γεγονότα που αφορούσαν τον πόλεμο στην Ουκρανία. Ο ιστότοπος θα προσπαθήσει να πείσει τους επισκέπτες του να κατεβάσουν ένα αρχείο με το όνομα "2022-Q2-Bedrohungslage-Ukraine.chm.txt". Μόλις ανοίξει, το αρχείο θα εμφανίσει ένα ψεύτικο μήνυμα σφάλματος σχετικά με ένα υποτιθέμενο ζήτημα, ενώ ένα σενάριο που έχει παραβιαστεί θα εκτελεστεί στο παρασκήνιο σιωπηλά. Το σενάριο θα εκκινήσει την αλυσίδα μόλυνσης του PowerShell RAT.