Deed RAT

Le minacce RAT (Remote Access Trojan) sono progettate per fornire ai criminali informatici un accesso remoto non autorizzato ai sistemi violati. In genere, queste minacce possono portare una serie di funzionalità intrusive e potrebbero essere implementate come parte di diverse operazioni di attacco. Il Deed RAT non fa eccezione e potrebbe essere incaricato di eseguire numerose azioni, in base agli obiettivi specifici degli attaccanti. Va notato che il Deed RAT non è una nuova minaccia. In effetti, esiste da un po' di tempo. Tuttavia, di recente, i ricercatori di Infosec hanno notato un aumento dell'attività Deed RAT, che coinvolge nuove varianti con una serie aggiornata di caratteristiche minacciose. Si ritiene che gli attori cinesi coinvolti nello spionaggio informatico siano alla base del rinnovato interesse per la minaccia.

Il Deed RAT è una minaccia modulare che viene fornita tramite il caricatore di moduli principale. Si compone di tre sezioni separate, ciascuna con diritti di accesso diversi. A sua volta, la backdoor principale è in grado di caricare e gestire plugin con funzioni specifiche. Ad esempio, la sezione dati contiene otto plug-in crittografati. In generale, ciascuno dei plugin identificati è in grado di eseguire cinque operazioni di utilità. Il plug-in di rete è responsabile dell'estrazione dell'indirizzo del server Command-and-Control (C2, C&C) come stringa URL.

La minaccia può raccogliere informazioni di sistema, creare una connessione remota separata che consente agli aggressori di lavorare con i plug-in, disattivare la connessione remota e rimuoversi per coprire le tracce degli hacker. Inoltre, il Deed RAT può interagire e modificare il registro di Windows.