VBA RAT

Un vero e proprio RAT VBA è stato rilevato come parte di una nuova operazione di attacco contro entità russe e filo-russe. Finora, l'autore della minaccia non è stato determinato in modo conclusivo e alcune prove indicano che potrebbe essere un gruppo di hacker appena emerso. La minaccia malware viene consegnata alle macchine della vittima tramite un documento di richiamo contenente un manifesto sulla Crimea, una regione molto contesa tra Russia e Ucraina.

Un documento, due vettori di attacco

Il documento di richiamo si chiama 'Manifest.docx' (Манифест.docx). Tenta di recuperare e consegnare il carico utile finale, il VBA RAT, tramite non uno ma due vettori di infezione separati. Innanzitutto, un modello basato su macro che punta a un URL con un modello remoto che trasporta il payload RAT. Il secondo vettore abusa di un exploit di Internet Explorer designato come CVE-2021-26411. La vulnerabilità consente all'attore della minaccia di eseguire uno shellcode che distribuisce la stessa minaccia VBA RAT.

Capacità dannose

Il VBA RAT è dotato di tutte le funzionalità previste da questo tipo di malware. Raccoglie dati sulla vittima e li trasmette all'aggressore. Può manipolare i file (eliminare, caricare o scaricare) archiviati sui sistemi compromessi, leggere dischi e altre informazioni di sistema. Il RAT può anche eseguire comandi arbitrari. Per evitare un facile rilevamento da parte dei prodotti antimalware, la minaccia evita le tipiche chiamate API utilizzate per l'esecuzione dello shellcode. Invece, VBA RAT ricorre a EnumWindows per raggiungere gli stessi obiettivi minacciosi.