PowerShell RAT

Cybersecurity-onderzoekers hebben een nieuwe RAT (Remote Access Threat) geïdentificeerd die cybercriminelen hebben gebruikt tegen doelen in Duitsland. Het Trojaanse paard wordt gevolgd als de PowerShell RAT en wordt ingezet via corrupte websites die de oorlog in Oekraïne als lokaas gebruiken.

De PowerShell RAT is uitgerust met de typische functionaliteit die verwacht wordt van dit soort bedreigingen. Eenmaal geïmplementeerd op de beoogde systemen, begint het relevante apparaatgegevens te verzamelen. Zoals de naam al doet vermoeden, draaien de primaire functies van de dreiging om het uitvoeren van PowerShell-scriptopdrachten. Bovendien kunnen de dreigingsactoren gekozen bestanden uit het gehackte systeem exfiltreren of er extra payloads op inzetten. Hierdoor kunnen de aanvallers hun mogelijkheden binnen het systeem uitbreiden, afhankelijk van hun doelen. Ze kunnen extra Trojaanse paarden, ransomware-bedreigingen, cryptominers, enz. downloaden en uitvoeren.

De lokwebsite die de PowerShell RAT verspreidt, is ontworpen om sterk te lijken op de Duitse staatswebsite van Baden-Württemberg. De dreigingsactoren gebruikten zelfs een domein - collaboration-bw(dot)de, dat eerder in verband werd gebracht met de officiële site. Op de neppagina zouden gebruikers nauwkeurige informatie krijgen over de gebeurtenissen met betrekking tot de oorlog in Oekraïne. De site zal zijn bezoekers proberen te overtuigen om een bestand met de naam '2022-Q2-Bedrohungslage-Ukraine.chm.txt' te downloaden. Eenmaal geopend, toont het bestand een valse foutmelding over een verondersteld probleem, terwijl een gecompromitteerd script stil op de achtergrond wordt uitgevoerd. Het script start de infectieketen van de PowerShell RAT.