PowerShell RAT

Kyberturvallisuustutkijat ovat tunnistaneet uuden RAT:n (Remote Access Threat), jota kyberrikolliset ovat hyödyntäneet Saksassa olevia kohteita vastaan. Troijalaista seurataan PowerShell RAT:na, ja se otetaan käyttöön vioittuneille verkkosivustoille käyttämällä Ukrainan sotaa houkuttelevana.

PowerShell RAT on varustettu tyypillisillä tämän tyyppisiltä uhilta odotetulla toiminnallisuudella. Kun se on otettu käyttöön kohdejärjestelmissä, se alkaa kerätä asiaankuuluvia laitetietoja. Kuten sen nimestä voi päätellä, uhan ensisijaiset toiminnot pyörivät PowerShell-komentosarjakomentojen suorittamisessa. Lisäksi uhkatekijät voivat suodattaa valittuja tiedostoja murretusta järjestelmästä tai ottaa käyttöön lisäkuormia. Näin hyökkääjät voivat laajentaa kykyjään järjestelmässä tavoitteistaan riippuen. He voivat ladata ja suorittaa muita troijalaisia, kiristysohjelmien uhkia, krypto-kaivostyöntekijöitä jne.

PowerShell RATia levittävä viehesivusto on suunniteltu muistuttamaan läheisesti Baden-Württembergin Saksan osavaltion verkkosivustoa. Uhkatoimijat käyttivät jopa verkkotunnusta - kollaboraatio-bw(dot)de, joka on aiemmin liitetty viralliseen sivustoon. Väärennetyllä sivulla käyttäjille esitettäisiin tarkkaa tietoa Ukrainan sotaa koskevista tapahtumista. Sivusto yrittää saada kävijät lataamaan tiedoston nimeltä "2022-Q2-Bedrohungslage-Ukraine.chm.txt". Kun tiedosto on avattu, se näyttää väärän virheilmoituksen oletetusta ongelmasta, kun taas vaarantunut komentosarja suoritetaan taustalla äänettömästi. Komentosarja käynnistää PowerShell RAT:n tartuntaketjun.