Lime RAT
LimeRAT एक सरल रिमोट एक्सेस ट्रोजन है, जो फिर भी अभिनेताओं को धमकाने के लिए नापाक कार्यक्षमता का एक विशाल सेट प्रदान करता है। यह खतरा विंडोज सिस्टम को संक्रमित करने के लिए बनाया गया है और इसमें एक मॉड्यूलर रचना है जिसे हैकर्स की जरूरतों के अनुसार कार्य करने के लिए समायोजित किया जा सकता है। यह समझौता मशीन पर एक बैकडोर स्थापित कर सकता है और मनमाना आदेशों को निष्पादित कर सकता है। यदि निर्देश दिया गया है, तो LimeRAT क्रिप्टो-माइनर पेलोड को तैनात कर सकता है या एक एन्क्रिप्शन दिनचर्या शुरू कर सकता है जो लक्षित फ़ाइल प्रकारों को रैंसमवेयर खतरों के समान तरीके से लॉक कर देगा। इसके अलावा, सभी सफलतापूर्वक घुसपैठ की गई प्रणालियों को बोटनेट में जोड़ा जा सकता है।
यदि यह पर्याप्त नहीं था, तो LimeRAT स्क्रीन लॉकर या डेटा कलेक्टर के रूप में भी कार्य कर सकता है जो निजी डेटा और फ़ाइलों को कटाई करता है और उन्हें अपने कमांड-एंड-कंट्रोल (C2, C & C) सर्वर पर भेज देता है। सभी अपलोड की गई जानकारी को पहले एईएस क्रिप्टोग्राफिक एल्गोरिदम का उपयोग करके एन्क्रिप्ट किया जाएगा। मैलवेयर का खतरा संक्रमित सिस्टम से जुड़े यूएसबी ड्राइव का भी पता लगा सकता है और उन्हें आगे स्वयं फैलाने के लिए उपयोग कर सकता है।
LimeRAT के पास अपने निपटान में कई पहचान-परिहार और वर्चुअलाइजेशन तकनीक हैं। यह वर्चुअल मशीन (वीएम) में चलाए जाने के संकेतों के लिए स्कैन कर सकता है और जरूरत पड़ने पर खुद को अनइंस्टॉल कर सकता है।
एक पुराने एक्सेल एन्क्रिप्शन तकनीक के माध्यम से संक्रमण
हाल ही में खोजे गए हमले अभियान में LimeRAT को केवल-पढ़ने के लिए Excel दस्तावेज़ों के रूप में फैलाया जा रहा है। ट्रोजनाइज्ड डॉक्स फ़िशिंग ईमेल के साथ चयनित लक्ष्य समूह के उद्देश्य से जुड़े होते हैं। रीड-ओनली डॉक्यूमेंट्स और लॉक न किए गए का उपयोग करने का निर्णय जानबूझकर किया गया है। केवल-पढ़ने के लिए फ़ाइलों को खोलने के लिए पासवर्ड की आवश्यकता नहीं होती है और इसे एक पुरानी एक्सेल शोषण तकनीक में भी नियोजित किया जा सकता है। जब ऐसी किसी फ़ाइल को निष्पादित किया जाता है, तो एक्सेल एक एम्बेडेड, डिफ़ॉल्ट पासवर्ड - 'वेलवेटस्वाइटशॉप' के साथ इसे डिक्रिप्ट करने की कोशिश करेगा, जबकि ऑनबोर्ड मैक्रोज़ को सक्षम करने और दूषित पेलोड को अपनी हमले श्रृंखला शुरू करने की अनुमति देगा। इस तकनीक का उपयोग 2013 से शुरू होता है और शोषण को CVE-2012-0158 पदनाम सौंपा गया है। हालांकि इस मुद्दे को एक लंबे समय से पहले संबोधित किया गया है, ऐसा लगता है कि साइबर अपराधी एक बार फिर से नए पीड़ितों को संक्रमित करने के प्रयास में वापस आ रहे हैं।
