PowerShelli RAT

Küberjulgeolekuteadlased on tuvastanud uue RAT-i (Remote Access Threat), mida küberkurjategijad on Saksamaal sihtmärkide vastu kasutanud. Troojat jälgitakse kui PowerShelli RAT-i ja seda kasutatakse rikutud veebisaitide kaudu, kasutades peibutisena Ukraina sõda.

PowerShell RAT on varustatud tüüpiliste funktsioonidega, mida seda tüüpi ohtudelt oodatakse. Kui see on sihitud süsteemides kasutusele võetud, hakkab see koguma asjakohaseid seadmeandmeid. Nagu nimigi ütleb, keerlevad ohu peamised funktsioonid PowerShelli skriptikäskude täitmise ümber. Lisaks saavad ohus osalejad rikutud süsteemist valitud faile välja filtreerida või sinna lisakoormust juurutada. See võimaldab ründajatel sõltuvalt eesmärkidest oma võimalusi süsteemi sees laiendada. Nad saavad alla laadida ja käivitada täiendavaid troojalasi, lunavaraohte, krüptokaevureid jne.

PowerShell RATi levitav peibutamise veebisait on loodud sarnaselt Saksamaa Baden-Württembergi liidumaa veebisaidiga. Ohutegijad kasutasid isegi domeeni - kollaboratsioon-bw(dot)de, mis on varem ametliku saidiga seotud. Võltslehel esitataks kasutajatele täpset teavet Ukraina sõda puudutavate sündmuste kohta. Sait püüab veenda oma külastajaid alla laadima faili nimega „2022-Q2-Bedrohungslage-Ukraine.chm.txt”. Pärast avamist kuvatakse failis võltsitud veateade oletatava probleemi kohta, samal ajal kui kahjustatud skript käivitatakse taustal vaikselt. Skript käivitab PowerShell RAT-i nakkusahela.