RevengeRAT
RevengeRAT fa parte di una minacciosa campagna di malware che prende di mira gli utenti di computer che si trovano in Europa, Asia, Medio Oriente e Nord America. RevengeRAT viene distribuito attraverso una varietà di pagine Web ospitate su piattaforme pubbliche come Blogspot e Pastebin, utilizzando anche queste pagine come parte dell'infrastruttura di comando e controllo di RevengeRAT utilizzata per eseguire attacchi RevengeRAT. I rapporti dell'ultima campagna RevengeRAT hanno iniziato ad apparire nel marzo 2019, anche se il Trojan RevengeRAT è in circolazione dal 2016. L'attuale campagna malware associata a RevengeRAT è diventata nota come "Aggah" e sembra prendere di mira grandi aziende e reti governative.
Sommario
Come il Trojan RevengeRAT attacca un computer
Il Trojan RevengeRAT è disponibile per tutti dal 2016, rilasciato sui forum di hacking. Una volta installato RevengeRAT, RevengeRAT consente all'autore dell'attacco di controllare da lontano il computer infetto. Con RevengeRAT, i criminali possono accedere ai file su un dispositivo del computer, eseguire processi e servizi di memoria, spiare le attività della vittima e apportare modifiche al dispositivo interessato. RevengeRAT consente inoltre ai criminali di accedere alle periferiche collegate al computer infetto, ad esempio consentendo loro di tenere traccia dei tasti premuti sulla tastiera del computer infetto o di accedere alla videocamera o al microfono per monitorare l'ambiente circostante il computer infetto.
Come viene distribuito RevengeRAT nella campagna Aggah
RevengeRAT è stato distribuito in una grande varietà di modi sin dalla sua prima creazione, che includono metodi di consegna di malware tipici ben noti, come l'uso di allegati di posta indesiderata o pubblicità online danneggiate e siti Web danneggiati. Il modo principale in cui RevengeRAT viene consegnato nella campagna Aggah è attraverso documenti danneggiati che utilizzano macro incorporate per scaricare e installare RevengeRAT sul computer della vittima. Le macro incorporate associate a questa campagna utilizzano i post su Blogspot per ottenere uno script che utilizza il contenuto Pastebin per scaricare contenuti aggiuntivi fino a quando RevengeRAT non viene installato e connesso al suo server di comando e controllo. Il file esca iniziale, che inizia l'attacco RevengeRAT, può essere camuffato in vari modi e può cambiare a seconda della vittima. Un campione osservato il 27 marzo 2019 è stato consegnato in un falso messaggio di posta elettronica da una banca con oggetto `` Il tuo account è bloccato '', inducendo la vittima ad aprire il file allegato pensando che si tratti di un documento ufficiale di una banca.
Come RevengeRAT infetta un dispositivo
Quando la vittima apre il file esca, visualizza un'immagine per indurre la vittima ad abilitare le macro di Microsoft Office. Consentendo che ciò accada, RevengeRAT può essere installato sul computer della vittima tramite un processo con più passaggi che coinvolgono vari URL diversi. Non appena RevengeRAT viene installato, questo Trojan disabiliterà Microsoft Defender e proverà a disabilitare altri contenuti di sicurezza sul computer della vittima. La variante RevengeRAT installata in questi recenti attacchi è soprannominata "Nuclear Explosion" e sembra eseguire un tipico attacco RAT backdoor. Un collegamento associato alla distribuzione RevengeRAT è stato cliccato quasi duemila volte con obiettivi in più di venti paesi diversi. Ciò suggerisce che è molto probabile che gli attacchi RevengeRAT abbiano avuto successo nel raggiungere in particolare la potenziale vittima.
Protezione dei dati da RevengeRAT
La migliore protezione contro i RAT come il Trojan RevengeRAT consiste nell'avere un prodotto di sicurezza completamente aggiornato installato sul tuo computer. Oltre ad avere un programma anti-malware affidabile, i ricercatori di malware consigliano anche agli utenti di computer di assicurarsi che altri dispositivi di sicurezza sul proprio computer siano abilitati, come un firewall affidabile e un filtro anti-spam. I ricercatori di sicurezza per PC consigliano di disabilitare le macro in Microsoft Office ed evitare di scaricare file sospetti, in particolare allegati di posta elettronica non richiesti.
