Lime RAT

Lime RAT Descrizione

LimeRAT è un semplice Trojan di accesso remoto che tuttavia fornisce una vasta serie di funzionalità nefaste agli autori delle minacce. La minaccia è progettata per infettare i sistemi Windows e ha una composizione modulare che può essere regolata per agire in base alle esigenze degli hacker. Può stabilire una backdoor sulla macchina compromessa ed eseguire comandi arbitrari. Se richiesto, LimeRAT può distribuire payload di crypto-miner o avviare una routine di crittografia che bloccherà i tipi di file mirati in modo simile alle minacce ransomware. Inoltre, tutti i sistemi infiltrati con successo possono essere aggiunti alle botnet.

Se ciò non bastasse, LimeRAT può anche agire come uno screen locker o un raccoglitore di dati che raccoglie dati e file privati e li esfiltra sul suo server Command-and-Control (C2, C&C). Tutte le informazioni caricate verranno prima crittografate utilizzando l'algoritmo di crittografia AES. La minaccia malware può anche rilevare le unità USB collegate al sistema infetto e utilizzarle per diffondersi ulteriormente.

LimeRAT dispone di più tecniche di prevenzione del rilevamento e anti-virtualizzazione a sua disposizione. Può eseguire la scansione di segni di esecuzione in una macchina virtuale (VM) e disinstallarsi se necessario.

Infezione tramite una vecchia tecnica di crittografia di Excel

LimeRAT viene diffuso come documenti Excel di sola lettura in una campagna di attacco recentemente rilevata. I documenti Trojan vengono allegati alle e-mail di phishing destinate al gruppo target selezionato. La decisione di utilizzare documenti di sola lettura e non bloccati è deliberata. I file di sola lettura non richiedono una password per essere aperti e possono anche essere utilizzati in una vecchia tecnica di sfruttamento di Excel. Quando un file di questo tipo viene eseguito, Excel proverà a decrittografarlo con una password predefinita incorporata - "VelvetSweatshop", abilitando anche le macro integrate e consentendo al payload danneggiato di avviare la sua catena di attacchi. L'uso di questa tecnica risale al 2013 e all'exploit è stata assegnata la designazione CVE-2012-0158. Sebbene il problema sia stato affrontato molto tempo fa, sembra che i criminali informatici stiano ancora una volta tornando su di esso nel tentativo di infettare nuove vittime.