Escanor RAT

De Escanor RAT is een krachtige malwarebedreiging die te koop wordt aangeboden aan cybercriminelen. Om precies te zijn, de RAT wordt geadverteerd op Dark Web-forums en het sociale mediaplatform van Telegram. Tot nu toe zijn er twee versies van de dreiging geïdentificeerd; een gericht op Android-gebaseerde apparaten en de andere voor pc-gebaseerde systemen. Opgemerkt moet worden dat sinds het op 26 januari 2022 te koop werd aangeboden, de aanvankelijk beperkte bedreigende functionaliteit van de dreiging aanzienlijk is uitgebreid.

Details over de Escanor RAT (de mobiele versie staat bekend als 'Esca RAT') zijn openbaar gemaakt in een rapport van een in Los Angeles gevestigd cyberbeveiligingsbedrijf. Volgens hun bevindingen waren de eerste versies van de RAT slechts een compact HVNC-implantaat (Hidden Virtual Network Computing), dat de aanvallers op afstand toegang moest geven tot het gehackte systeem. De mogelijkheden van latere versies werden versterkt door de opname van routines voor het verzamelen van gegevens en keylogging. De mobiele Escanor RAT kan effectief worden gebruikt als een banktrojan die zich richt op de bankgegevens van zijn slachtoffers. De dreiging kan OTP-codes (eenmalig wachtwoord) onderscheppen, de GPS-locatie van het apparaat volgen, de controle over de camera overnemen, door bestanden op het apparaat bladeren en gegevens verzamelen.

Tot nu toe zijn slachtoffers van de Escanor RAT over de hele wereld geïdentificeerd, in landen zo ver uit elkaar als de VS, de VAE, Egypte, Mexico, Singapore, Canada, Koeweit, Israël en meer. De infectievector omvat meestal bewapende Microsoft Office- of Adobe PDF-documenten.