PowerShell RAT

Cybersikkerhetsforskere har identifisert en ny RAT (Remote Access Threat) som nettkriminelle har utnyttet mot mål i Tyskland. Trojaneren blir sporet som PowerShell RAT, og den distribueres via korrupte nettsteder som bruker krigen i Ukraina som et lokkemiddel.

PowerShell RAT er utstyrt med den typiske funksjonaliteten som forventes av trusler av denne typen. Når den er distribuert på de målrettede systemene, begynner den å samle inn relevante enhetsdata. Som navnet antyder, dreier trusselens primære funksjoner seg om å utføre PowerShell-skriptkommandoer. I tillegg kan trusselaktørene eksfiltrere valgte filer fra det brutte systemet eller distribuere ytterligere nyttelast på det. Dette lar angriperne utvide sine evner i systemet, avhengig av målene deres. De kan laste ned og utføre flere trojanere, løsepengevaretrusler, kryptogruvearbeidere, etc.

Lokkenettstedet som sprer PowerShell RAT er designet for å likne det tyske statlige nettstedet Baden-Württemberg. Trusselaktørene brukte til og med et domene - collaboration-bw(dot)de, som tidligere har vært assosiert med det offisielle nettstedet. På den falske siden vil brukerne bli presentert med nøyaktig informasjon om hendelsene angående krigen i Ukraina. Nettstedet vil prøve å overbevise sine besøkende om å laste ned en fil kalt '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Når den er åpnet, vil filen vise en falsk feilmelding om et antatt problem, mens et kompromittert skript vil bli utført i bakgrunnen stille. Skriptet vil starte PowerShell RATs infeksjonskjede.