Grind3lwald RAT

Onderzoekers van Infosec hebben vastgesteld dat Grind3lwald een volledig functionele Remote Access Trojan (RAT) is die kan worden aangepast om talloze opdringerige en bedreigende acties uit te voeren op gecompromitteerde computers. Ondanks dat het een officiële website heeft waar de auteurs beweren dat Grind3lwald niet bedoeld is om te worden gebruikt voor illegale activiteiten, wordt de RAT ook gepromoot op speciale hackerforums. In feite bieden de ontwikkelaars van Grind3lwald verschillende prijsplannen, afhankelijk van de gewenste functionaliteit van de dreiging. Blijkbaar kan de RAT ook de opdracht krijgen om op te treden als loader, keylogger of stealer.

Doorgaans zijn laders bedreigingen in de eerste fase die verantwoordelijk zijn voor de levering van payloads in de volgende fase. Dit betekent dat Grind3lwald, naast de mogelijkheden voor toegang op afstand, ook kan worden gebruikt om andere bedreigingen op het apparaat van het slachtoffer in te zetten, zoals ransomware, crypto-miners, andere trojans en meer. Keyloggers daarentegen zijn heimelijke implantaten die zijn ontworpen om het slachtoffer te bespioneren en gevoelige privégegevens te verkrijgen door elke toetsenbord- of muisinvoer te volgen. Ten slotte zou Grind3lwald, door stealer-functies op te nemen, kunnen proberen om privégegevens uit webbrowsers of andere geïnstalleerde applicaties te extraheren. Gewoonlijk proberen de aanvallers accountgegevens (e-mails, gebruikersnamen en wachtwoorden) te verkrijgen, evenals betalings-/bankgegevens.

Een extra functie die Grind3lwald biedt, is de mogelijkheid om macro-opdrachten in Excel-documenten te gebruiken. Cybercriminelen gebruiken vaak beschadigde macro's in hun aanvalscampagnes als een eerste besmettingsbron voor de beoogde computers. Deze macro's worden geïnjecteerd in een bewapend lokaasdocument en worden uitgevoerd op het moment dat het slachtoffer het bestand probeert te openen. In de meeste gevallen worden deze gecompromitteerde bestanden verspreid via spam-e-mailcampagnes.