TSCookieRAT

Entro Mezo nel Backdoors, Malware, Trojans

Traduci in:

TSCookieRAT è una minaccia di accesso remoto che è stata sfruttata contro obiettivi giapponesi dal gruppo di hacker che porta la designazione BlackTech. L'operazione minacciosa utilizzava messaggi di posta elettronica esca per indurre gli utenti mirati a fare clic su un URL che porta alla minaccia. Va notato che anche TSCookieRAT è stato tracciato inizialmente con il nome PLEAD, ma un'analisi successiva ha rivelato alcune distinzioni tra i due.

Le e-mail di richiamo impiegate nella campagna presumibilmente provenivano dal Ministero dell'Istruzione, della Cultura, dello Sport, della Scienza e della Tecnologia del Giappone. L'URL fornito nelle e-mail scarica un file DLL crittografato che contiene il componente caricatore di TSCookieRAT. Il file DLL viene quindi caricato ed eseguito in memoria. Le funzionalità dannose della minaccia vengono quindi espanse nelle fasi successive dell'attacco recuperando ed eseguendo moduli aggiuntivi dal server Command-and-Control (C2, C&C) della campagna. Tutti i componenti in fase avanzata vengono eseguiti anche in memoria.

Quando TSCookieRAT è pronto per iniziare la sua minacciosa operazione, invia una richiesta HTTP GET a C&C e quindi attende i comandi in arrivo. La minaccia consente al truffatore di stabilire un livello significativo di controllo sul sistema infetto. Gli hacker possono eseguire comandi shell arbitrari, esfiltrare dati incluse informazioni su unità e sistema, manipolare il file system e raccogliere informazioni sensibili, come password dai browser Web più diffusi: Chrome, Firefox, Edge, Internet Explorer e il client di posta Outlook. I risultati raccolti in risposta ai comandi ricevuti vengono quindi caricati nello stesso formato della prima richiesta HTTP POST.

Le campagne di attacco BlackTech contro obiettivi giapponesi potrebbero continuare e potrebbero coinvolgere diverse minacce malware, quindi le organizzazioni dovrebbero mantenere la propria sicurezza informatica a un livello soddisfacente e implementare eventuali patch di sicurezza del software a tempo debito.

Ricerca

Cambia regione

TSCookieRAT

Invia commento

Tendenza

Safe Search Eng

MarioLocker Ransomware

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...