PowerShell RAT

محققان امنیت سایبری یک RAT جدید (تهدید دسترسی از راه دور) را شناسایی کرده اند که مجرمان سایبری از آن علیه اهداف در آلمان استفاده کرده اند. تروجان به عنوان PowerShell RAT ردیابی می‌شود و از طریق وب‌سایت‌های خراب با استفاده از جنگ در اوکراین به عنوان یک فریب، به کار گرفته می‌شود.

PowerShell RAT مجهز به عملکرد معمولی است که از این نوع تهدیدات انتظار می رود. پس از استقرار در سیستم های مورد نظر، شروع به جمع آوری داده های مربوط به دستگاه می کند. همانطور که از نام آن پیداست، عملکردهای اصلی تهدید حول اجرای دستورات اسکریپت PowerShell می چرخد. علاوه بر این، عوامل تهدید می‌توانند فایل‌های انتخابی را از سیستم نقض شده استخراج کنند یا بارهای اضافی را روی آن مستقر کنند. این به مهاجمان اجازه می دهد تا بسته به اهداف خود، قابلیت های خود را در داخل سیستم گسترش دهند. آنها می‌توانند تروجان‌های اضافی، تهدیدات باج‌افزار، ماینرهای رمزنگاری و غیره را دانلود و اجرا کنند.

وب سایت فریبنده ای که PowerShell RAT را منتشر می کند به گونه ای طراحی شده است که شباهت زیادی به وب سایت ایالتی بادن-وورتمبرگ آلمان داشته باشد. بازیگران تهدید حتی از یک دامنه - collaboration-bw(dot)de استفاده کردند که قبلاً با سایت رسمی مرتبط شده است. در صفحه جعلی، اطلاعات دقیقی در مورد رویدادهای مربوط به جنگ در اوکراین به کاربران ارائه می شود. این سایت سعی خواهد کرد بازدیدکنندگان خود را متقاعد کند که فایلی با نام "2022-Q2-Bedrohungslage-Ukraine.chm.txt" را دانلود کنند. پس از باز شدن، فایل یک پیغام خطای جعلی در مورد یک مشکل فرضی نمایش می دهد، در حالی که یک اسکریپت در معرض خطر در پس زمینه بی صدا اجرا می شود. این اسکریپت زنجیره آلودگی PowerShell RAT را آغاز می کند.