PowerShell RAT

A kiberbiztonsági kutatók egy új RAT-ot (Remote Access Threat) azonosítottak, amelyet a kiberbűnözők a németországi célpontok ellen alkalmaztak. A trójai PowerShell RAT néven követik nyomon, és sérült webhelyeken keresztül telepítik, az ukrajnai háborút csalogatóként használva.

A PowerShell RAT fel van szerelve az ilyen típusú fenyegetésektől elvárható tipikus funkciókkal. A megcélzott rendszereken történő üzembe helyezés után megkezdi a releváns eszközadatok gyűjtését. Ahogy a neve is sugallja, a fenyegetés elsődleges funkciói a PowerShell-szkriptparancsok végrehajtása körül forognak. Ezenkívül a fenyegetés szereplői kiszűrhetik a kiválasztott fájlokat a feltört rendszerből, vagy további rakományokat telepíthetnek rá. Ez lehetővé teszi a támadók számára, hogy céljaiktól függően bővítsék képességeiket a rendszeren belül. Letölthetnek és végrehajthatnak további trójaiakat, ransomware-fenyegetéseket, kripto-bányászokat stb.

A PowerShell RAT-ot terjesztő csalogató weboldalt úgy tervezték, hogy nagyon hasonlítson a Baden-Württemberg német tartomány webhelyére. A fenyegetés szereplői még egy domaint is használtak – a kollaboráció-bw(dot)de –, amelyet korábban a hivatalos oldallal társítottak. Az áloldalon a felhasználók pontos információkat kapnának az ukrajnai háborúval kapcsolatos eseményekről. Az oldal megpróbálja meggyőzni látogatóit, hogy töltsék le a „2022-Q2-Bedrohungslage-Ukraine.chm.txt” nevű fájlt. Megnyitása után a fájl egy hamis hibaüzenetet jelenít meg egy feltételezett problémáról, miközben a feltört szkript csendben lefut a háttérben. A szkript elindítja a PowerShell RAT fertőzési láncát.