TIKUS PowerShell

Penyelidik keselamatan siber telah mengenal pasti RAT baharu (Ancaman Akses Jauh) yang digunakan oleh penjenayah siber terhadap sasaran di Jerman. Trojan sedang dikesan sebagai RAT PowerShell, dan ia digunakan melalui laman web yang rosak menggunakan perang di Ukraine sebagai tarikan.

RAT PowerShell dilengkapi dengan fungsi tipikal yang diharapkan daripada ancaman jenis ini. Setelah digunakan pada sistem yang disasarkan, ia mula mengumpul data peranti yang berkaitan. Seperti namanya, fungsi utama ancaman berkisar pada pelaksanaan perintah skrip PowerShell. Di samping itu, pelaku ancaman boleh mengeluarkan fail yang dipilih daripada sistem yang dilanggar atau menggunakan muatan tambahan padanya. Ini membolehkan penyerang mengembangkan keupayaan mereka dalam sistem, bergantung pada matlamat mereka. Mereka boleh memuat turun dan melaksanakan Trojan tambahan, ancaman perisian tebusan, pelombong kripto, dll.

Laman web gewang yang menyebarkan RAT PowerShell direka bentuk untuk menyerupai laman web negeri Baden-Württemberg Jerman. Pelaku ancaman juga menggunakan domain - collaboration-bw(dot)de, yang sebelum ini dikaitkan dengan tapak rasmi. Pada halaman palsu, pengguna akan dibentangkan dengan maklumat yang tepat tentang peristiwa berkaitan perang di Ukraine. Tapak ini akan cuba meyakinkan pelawatnya untuk memuat turun fail bernama '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Setelah dibuka, fail akan memaparkan mesej ralat palsu tentang isu yang sepatutnya, manakala skrip yang terjejas akan dilaksanakan di latar belakang secara senyap. Skrip akan memulakan rantaian jangkitan PowerShell RAT.