ApolloRAT

ApolloRAT is, zoals de naam al doet vermoeden, een Remote Access Trojan (RAT). De dreiging is gemaakt met behulp van de programmeertaal Python en is uitgerust met een groot aantal schadelijke functies. Zoals de meeste bedreigingen van dit type, kan ApolloRAT de aanvallers op afstand toegang geven tot het gehackte apparaat. Daarna kunnen de hackers doorgaan met het uitvoeren van willekeurige shell-opdrachten op het systeem, het afsluiten of opnieuw opstarten en zelfs een kritieke systeemfout veroorzaken.

Afhankelijk van de specifieke doelen van de aanvallers, kan ApolloRAT worden geïnstrueerd om grote hoeveelheden gegevens van het geïnfecteerde systeem te verzamelen. De verzamelde gegevens kunnen het IP-adres, de browsegeschiedenis, wifi-wachtwoorden, wachtwoorden uit de browsers van het slachtoffer en meer bevatten. De malware kan ook het bestandssysteem manipuleren door extra bestanden te downloaden of geselecteerde bestanden te uploaden, waardoor de cybercriminelen dreigende payloads van de volgende fase naar het apparaat kunnen leveren of gevoelige en vertrouwelijke gegevens kunnen verkrijgen. ApolloRAT kan ook screenshots maken, berichten weergeven of tekst-naar-spraak-audio afspelen. De dreigingsactoren kunnen ApolloRAT gebruiken als onderdeel van phishing-schema's. De malware kan valse applicatie-interfaces of PDF-documenten weergeven.

Opgemerkt moet worden dat ApolloRAT over verschillende anti-detectietechnieken beschikt. Ten eerste is het gecompileerd met de Nuitka source-to-course compiler, wat reverse-engineering veel moeilijker maakt, aangezien Nuitka niet gebruikelijk is onder cybercriminelen. De dreiging kan scannen op tekenen dat het in een virtuele omgeving wordt uitgevoerd, Windows Defender en Firewall uitschakelen, evenals Windows Taakbeheer. Het gebruik van het Discord-berichtenplatform als Command-and-Control (C&C)-server belemmert de detectie van de malware verder.