ApolloRAT

ApolloRAT, come suggerisce il nome, è un Trojan di accesso remoto (RAT). La minaccia è stata creata utilizzando il linguaggio di programmazione Python ed è dotata di un ampio set di funzioni dannose. Come la maggior parte delle minacce di questo tipo, ApolloRAT può fornire agli aggressori l'accesso remoto al dispositivo violato. Successivamente, gli hacker possono procedere con l'esecuzione di comandi shell arbitrari sul sistema, provocarne l'arresto o il riavvio e persino attivare un errore di sistema critico.

A seconda degli obiettivi specifici degli aggressori, ApolloRAT può essere incaricato di raccogliere grandi quantità di dati dal sistema infetto. I dettagli raccolti possono includere l'indirizzo IP, la cronologia di navigazione, le password Wi-Fi, le password estratte dai browser della vittima e altro ancora. Il malware può anche manipolare il file system scaricando file aggiuntivi o caricando file selezionati, consentendo ai criminali informatici di inviare payload minacciosi nella fase successiva al dispositivo o ottenere dati sensibili e riservati. ApolloRAT può anche acquisire schermate, visualizzare messaggi o riprodurre audio da sintesi vocale. Gli attori delle minacce possono utilizzare ApolloRAT come parte di schemi di phishing. Il malware può visualizzare interfacce di applicazioni false o documenti PDF.

Va notato che ApolloRAT possiede diverse tecniche anti-rilevamento. Innanzitutto, viene compilato con il compilatore da sorgente a corso Nuitka, rendendo molto più difficile il reverse engineering, poiché Nuitka non è una scelta comune tra i criminali informatici. La minaccia può cercare segni di esecuzione all'interno di un ambiente virtuale, disabilitare Windows Defender e Firewall, nonché il Task Manager di Windows. L'uso della piattaforma di messaggistica Discord come server Command-and-Control (C&C) ostacola ulteriormente il rilevamento del malware.