VBA RAT
रूसी और समर्थक रूसी संस्थाओं के खिलाफ एक नए हमले के ऑपरेशन के हिस्से के रूप में एक पूर्ण वीबीए आरएटी का पता चला था। अब तक, धमकी देने वाले अभिनेता का निर्णायक रूप से निर्धारण नहीं किया गया है और कुछ सबूत बताते हैं कि यह एक नया उभरता हुआ हैकर समूह हो सकता है। रूस और यूक्रेन के बीच एक गर्मागर्म विवादित क्षेत्र क्रीमिया के बारे में घोषणापत्र वाले एक लालच दस्तावेज़ के माध्यम से मैलवेयर की धमकी पीड़ित की मशीनों तक पहुंचाई जाती है।
एक दस्तावेज़, दो हमले वाले वैक्टर
लालच दस्तावेज़ का नाम 'Manifest.docx' (Манифест.docx) है। यह एक नहीं बल्कि दो अलग-अलग संक्रमण वैक्टर के माध्यम से अंतिम पेलोड - वीबीए आरएटी लाने और वितरित करने का प्रयास करता है। सबसे पहले, एक मैक्रो-आधारित टेम्पलेट एक दूरस्थ टेम्पलेट वाले URL की ओर इशारा करता है जो RAT पेलोड वहन करता है। दूसरा वेक्टर CVE-2021-26411 के रूप में नामित इंटरनेट एक्सप्लोरर शोषण का दुरुपयोग करता है। भेद्यता खतरे के अभिनेता को एक शेलकोड निष्पादित करने की अनुमति देती है जो समान वीबीए आरएटी खतरे को दर्शाती है।
हानिकारक क्षमताएं
वीबीए आरएटी इस मैलवेयर प्रकार से अपेक्षित सभी क्षमताओं से लैस है। यह पीड़ित के बारे में डेटा एकत्र करता है और उसे हमलावर को सौंप देता है। यह समझौता किए गए सिस्टम पर संग्रहीत फ़ाइलों (हटाएं, अपलोड, या डाउनलोड) में हेरफेर कर सकता है, डिस्क और अन्य सिस्टम जानकारी पढ़ सकता है। RAT मनमानी आदेशों को भी निष्पादित कर सकता है। एंटी-मैलवेयर उत्पादों द्वारा आसानी से पता लगाने से बचने के लिए, खतरा शेलकोड निष्पादन के लिए उपयोग की जाने वाली विशिष्ट एपीआई कॉल से बचा जाता है। इसके बजाय, VBA RAT समान खतरनाक लक्ष्यों को प्राप्त करने के लिए EnumWindows का सहारा लेता है।
