PowerShell RAT
חוקרי אבטחת סייבר זיהו RAT חדש (Remote Access Threat) שפושעי סייבר מינפו נגד מטרות בגרמניה. הטרויאני נמצא במעקב בתור PowerShell RAT, והוא נפרס דרך אתרים פגומים תוך שימוש במלחמה באוקראינה כפיתוי.
PowerShell RAT מצויד בפונקציונליות האופיינית המצופה מאיומים מסוג זה. לאחר פריסה במערכות היעד, הוא מתחיל לאסוף נתוני מכשיר רלוונטיים. כפי ששמו מרמז, הפונקציות העיקריות של האיום סובבות סביב ביצוע פקודות סקריפט של PowerShell. בנוסף, גורמי האיום יכולים לסנן קבצים נבחרים מהמערכת שנפרצה או לפרוס עליה מטענים נוספים. זה מאפשר לתוקפים להרחיב את היכולות שלהם בתוך המערכת, בהתאם למטרות שלהם. הם יכולים להוריד ולהפעיל סוסים טרויאניים נוספים, איומי תוכנות כופר, כורי קריפטו וכו'.
אתר הפיתוי המפיץ את PowerShell RAT נועד להידמות מאוד לאתר מדינת באדן-וירטמברג. שחקני האיום אפילו השתמשו בדומיין - collaboration-bw(dot)de, שהיה משויך בעבר לאתר הרשמי. בעמוד המזויף יוצג למשתמשים מידע מדויק על האירועים הנוגעים למלחמה באוקראינה. האתר ינסה לשכנע את המבקרים בו להוריד קובץ בשם '2022-Q2-Bedrohungslage-Ukraine.chm.txt'. לאחר הפתיחה, הקובץ יציג הודעת שגיאה מזויפת לגבי בעיה כביכול, בעוד שסקריפט שנפרץ יתבצע ברקע בשקט. הסקריפט יתחיל את שרשרת ההדבקה של PowerShell RAT.
