Malware VileRAT

Il malware VileRAT è una potente minaccia utilizzata dai criminali informatici per prendere di mira i broker di cambio di valuta estera e criptovaluta. Le organizzazioni mirate o compromesse sono state identificate in un'ampia gamma di località geografiche, tra cui Kuwait, Emirati Arabi Uniti, Federazione Russa, Germania, Bulgaria e altre ancora.

Secondo un rapporto pubblicato da esperti di malware, VileRAT è stato attribuito al gruppo di criminalità informatica DeathStalker , un'organizzazione che si ritiene offra servizi di hacking a noleggio. La campagna VilerRAT mostra le capacità migliorate di DeathStalker per evitare il rilevamento attraverso l'uso di offuscamenti all'avanguardia, multistrato e imballaggio a basso livello, caricatore PE in memoria con esecuzione a più stadi e persino bypass euristici progettati per ingannare soluzioni di sicurezza specifiche. Tuttavia, il payload finale di VileRAT ha ancora una dimensione enorme di 10 MB.

Una volta che il RAT (Remote Access Trojan) è stato eseguito sul sistema violato, consente agli attori della minaccia di eseguire comandi arbitrari tramite il prompt dei comandi. Gli hacker possono anche scaricare file o payload aggiuntivi, eseguire file scelti, manipolare il file system, uccidere processi, aprire siti Web e altro ancora. VileRAT può stabilire routine di keylogging per ottenere informazioni sensibili, come credenziali dell'account, dettagli di accesso, dati di pagamento, ecc.

Per garantire la sua presenza continua sul sistema infetto, VileRAT attiva un meccanismo di persistenza creando attività pianificate tramite l'Utilità di pianificazione di Windows. Gli hacker di DeathStalker possono inviare aggiornamenti alla minaccia dal server Command-and-Control dell'operazione.