PowerShell RAT

Kiberdrošības pētnieki ir identificējuši jaunu RAT (Remote Access Threat), ko kibernoziedznieki ir izmantojuši pret mērķiem Vācijā. Trojas zirgs tiek izsekots kā PowerShell RAT, un tas tiek izvietots, izmantojot bojātas vietnes, kā vilinājumu izmantojot karu Ukrainā.

PowerShell RAT ir aprīkots ar tipisku funkcionalitāti, kas sagaidāma no šāda veida apdraudējumiem. Kad tas ir izvietots mērķa sistēmās, tas sāk vākt attiecīgos ierīces datus. Kā norāda nosaukums, draudu galvenās funkcijas ir saistītas ar PowerShell skriptu komandu izpildi. Turklāt apdraudējuma dalībnieki var izfiltrēt izvēlētos failus no uzlauztās sistēmas vai izvietot tajā papildu slodzes. Tas ļauj uzbrucējiem paplašināt savas iespējas sistēmā atkarībā no viņu mērķiem. Viņi var lejupielādēt un izpildīt papildu Trojas zirgus, izspiedējprogrammatūras draudus, kriptogrāfijas ieguvējus utt.

Lure tīmekļa vietne, kas izplata PowerShell RAT, ir veidota tā, lai ļoti līdzinātos Bādenes-Virtembergas Vācijas štata vietnei. Apdraudējuma dalībnieki pat izmantoja domēnu - kollaboration-bw(dot)de, kas iepriekš bija saistīts ar oficiālo vietni. Viltus lapā lietotājiem tiktu sniegta precīza informācija par notikumiem saistībā ar karu Ukrainā. Vietne mēģinās pārliecināt savus apmeklētājus lejupielādēt failu ar nosaukumu “2022-Q2-Bedrohungslage-Ukraine.chm.txt”. Pēc atvēršanas failā tiks parādīts viltus kļūdas ziņojums par iespējamo problēmu, savukārt uzlauztais skripts tiks klusi izpildīts fonā. Skripts sāks PowerShell RAT infekcijas ķēdi.