पावरशेल आरएटी
साइबर सुरक्षा शोधकर्ताओं ने एक नए आरएटी (रिमोट एक्सेस थ्रेट) की पहचान की है जिसका साइबर अपराधियों ने जर्मनी में लक्ष्य के खिलाफ लाभ उठाया है। ट्रोजन को पावरशेल आरएटी के रूप में ट्रैक किया जा रहा है, और इसे दूषित वेबसाइटों के माध्यम से यूक्रेन में युद्ध का लालच के रूप में उपयोग करके तैनात किया जा रहा है।
पावरशेल आरएटी इस प्रकार के खतरों से अपेक्षित विशिष्ट कार्यक्षमता से लैस है। एक बार लक्षित सिस्टम पर तैनात होने के बाद, यह प्रासंगिक डिवाइस डेटा एकत्र करना शुरू कर देता है। जैसा कि इसके नाम से पता चलता है, खतरे के प्राथमिक कार्य पावरशेल स्क्रिप्ट कमांड को निष्पादित करने के इर्द-गिर्द घूमते हैं। इसके अलावा, धमकी देने वाले अभिनेता चुनी हुई फाइलों को भंग सिस्टम से बाहर निकाल सकते हैं या उस पर अतिरिक्त पेलोड तैनात कर सकते हैं। यह हमलावरों को अपने लक्ष्यों के आधार पर सिस्टम के भीतर अपनी क्षमताओं का विस्तार करने की अनुमति देता है। वे अतिरिक्त ट्रोजन, रैंसमवेयर खतरों, क्रिप्टो-माइनर्स आदि को डाउनलोड और निष्पादित कर सकते हैं।
पावरशेल आरएटी फैलाने वाली लालच वेबसाइट को बाडेन-वुर्टेमबर्ग जर्मन राज्य की वेबसाइट के समान रूप से डिजाइन किया गया है। धमकी देने वाले अभिनेताओं ने एक डोमेन - सहयोग-बीडब्ल्यू (डॉट) डी का भी इस्तेमाल किया, जो पहले आधिकारिक साइट से जुड़ा हुआ था। नकली पेज पर, उपयोगकर्ताओं को यूक्रेन में युद्ध से संबंधित घटनाओं के बारे में सटीक जानकारी के साथ प्रस्तुत किया जाएगा। साइट अपने आगंतुकों को '2022-Q2-Bedrohungslage-Ukraine.chm.txt' नाम की एक फ़ाइल डाउनलोड करने के लिए मनाने की कोशिश करेगी। एक बार खोलने के बाद, फ़ाइल एक कथित समस्या के बारे में एक नकली त्रुटि संदेश प्रदर्शित करेगी, जबकि एक समझौता स्क्रिप्ट को चुपचाप पृष्ठभूमि में निष्पादित किया जाएगा। स्क्रिप्ट PowerShell RAT की संक्रमण श्रृंखला आरंभ करेगी।
