Κακόβουλο λογισμικό VileRAT

Το κακόβουλο λογισμικό VileRAT είναι μια ισχυρή απειλή που χρησιμοποιείται από εγκληματίες του κυβερνοχώρου για να στοχεύσουν μεσίτες συναλλάγματος ξένων νομισμάτων και κρυπτονομισμάτων. Στοχευμένοι ή παραβιασμένοι οργανισμοί έχουν εντοπιστεί σε ένα ευρύ φάσμα γεωγραφικών τοποθεσιών, συμπεριλαμβανομένου του Κουβέιτ, των ΗΑΕ, της Ρωσικής Ομοσπονδίας, της Γερμανίας, της Βουλγαρίας και άλλων.

Σύμφωνα με μια έκθεση που δημοσιεύτηκε από ειδικούς σε κακόβουλο λογισμικό, το VileRAT έχει αποδοθεί στην ομάδα εγκλήματος στον κυβερνοχώρο DeathStalker , έναν οργανισμό που πιστεύεται ότι προσφέρει υπηρεσίες εισβολής για ενοικίαση. Η καμπάνια VilerRAT παρουσιάζει τις βελτιωμένες δυνατότητες του DeathStalker για αποφυγή ανίχνευσης μέσω της χρήσης υπερσύγχρονων συσκέψεων, πολλαπλών επιπέδων, καθώς και συσκευασίας χαμηλού επιπέδου, φορτωτή PE στη μνήμη με εκτέλεση πολλαπλών σταδίων και ακόμη και ευρετικές παρακάμψεις που έχουν σχεδιαστεί για να ξεγελάσουν συγκεκριμένες λύσεις ασφαλείας. Ωστόσο, το τελικό ωφέλιμο φορτίο VileRAT εξακολουθεί να βρίσκεται σε τεράστιο μέγεθος 10MB.

Μόλις το RAT (Remote Access Trojan) έχει εκτελεστεί στο σύστημα που έχει παραβιαστεί, επιτρέπει στους παράγοντες απειλής να εκτελούν αυθαίρετες εντολές μέσω της Γραμμής εντολών. Οι χάκερ μπορούν επίσης να κατεβάσουν πρόσθετα αρχεία ή ωφέλιμα φορτία, να εκτελέσουν επιλεγμένα αρχεία, να χειριστούν το σύστημα αρχείων, να σκοτώσουν διαδικασίες, να ανοίξουν ιστότοπους και πολλά άλλα. Το VileRAT μπορεί να δημιουργήσει ρουτίνες καταγραφής κλειδιών για τη λήψη ευαίσθητων πληροφοριών, όπως διαπιστευτήρια λογαριασμού, λεπτομέρειες σύνδεσης, δεδομένα πληρωμής κ.λπ.

Για να διασφαλίσει τη συνεχή παρουσία του στο μολυσμένο σύστημα, το VileRAT ενεργοποιεί έναν μηχανισμό επιμονής δημιουργώντας προγραμματισμένες εργασίες μέσω του Προγραμματιστή εργασιών των Windows. Οι χάκερ του DeathStalker μπορούν να προωθήσουν ενημερώσεις για την απειλή από τον διακομιστή Command-and-Control της επιχείρησης.