PowerShell RAT

I ricercatori di cybersecurity hanno identificato un nuovo RAT (Remote Access Threat) che i criminali informatici hanno sfruttato contro obiettivi in Germania. Il Trojan viene tracciato come PowerShell RAT e viene distribuito tramite siti Web corrotti utilizzando la guerra in Ucraina come esca.

PowerShell RAT è dotato delle funzionalità tipiche previste per le minacce di questo tipo. Una volta distribuito sui sistemi di destinazione, inizia a raccogliere i dati rilevanti del dispositivo. Come suggerisce il nome, le funzioni principali della minaccia ruotano attorno all'esecuzione dei comandi di script di PowerShell. Inoltre, gli attori delle minacce possono esfiltrare i file scelti dal sistema violato o distribuire payload aggiuntivi su di esso. Ciò consente agli aggressori di espandere le proprie capacità all'interno del sistema, a seconda dei propri obiettivi. Possono scaricare ed eseguire ulteriori trojan, minacce ransomware, crypto-miner, ecc.

Il sito Web di richiamo che diffonde PowerShell RAT è progettato per assomigliare molto al sito Web dello stato tedesco del Baden-Württemberg. Gli attori delle minacce hanno persino utilizzato un dominio - collaboration-bw(dot)de, che è stato precedentemente associato al sito ufficiale. Sulla pagina falsa, agli utenti verrebbero presentate informazioni accurate sugli eventi riguardanti la guerra in Ucraina. Il sito cercherà di convincere i suoi visitatori a scaricare un file chiamato '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Una volta aperto, il file visualizzerà un falso messaggio di errore su un presunto problema, mentre uno script compromesso verrà eseguito in background silenziosamente. Lo script avvierà la catena di infezione di PowerShell RAT.