PowerShell RAT

Istraživači kibernetičke sigurnosti identificirali su novi RAT (remote Access Threat) koji su kibernetički kriminalci iskoristili protiv ciljeva u Njemačkoj. Trojanac se prati kao PowerShell RAT, a koristi se putem korumpiranih web stranica koristeći rat u Ukrajini kao mamac.

PowerShell RAT opremljen je tipičnom funkcionalnošću koja se očekuje od prijetnji ovog tipa. Nakon što se implementira na ciljane sustave, počinje prikupljati relevantne podatke o uređaju. Kao što joj ime govori, primarne funkcije prijetnje vrte se oko izvršavanja naredbi PowerShell skripte. Osim toga, akteri prijetnje mogu eksfiltrirati odabrane datoteke iz provaljenog sustava ili na njega rasporediti dodatni teret. To omogućuje napadačima da prošire svoje sposobnosti unutar sustava, ovisno o njihovim ciljevima. Mogu preuzimati i izvršavati dodatne trojance, prijetnje ransomware-a, kripto-rudare itd.

Web stranica za mamce koja širi PowerShell RAT osmišljena je tako da uvelike nalikuje njemačkoj državnoj web stranici Baden-Württemberga. Akteri prijetnji su čak koristili domenu - collaboration-bw(dot)de, koja je prethodno bila povezana sa službenim stranicama. Na lažnoj stranici korisnici bi dobili točne informacije o događajima vezanim za rat u Ukrajini. Stranica će pokušati uvjeriti svoje posjetitelje da preuzmu datoteku pod nazivom '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Nakon otvaranja, datoteka će prikazati lažnu poruku o pogrešci o navodnom problemu, dok će se kompromitirana skripta nečujno izvršavati u pozadini. Skripta će pokrenuti lanac infekcije PowerShell RAT-a.