RevengeRAT
RevengeRAT maakt deel uit van een bedreigende malwarecampagne die zich richt op computergebruikers in Europa, Azië, het Midden-Oosten en Noord-Amerika. RevengeRAT wordt verspreid via een verscheidenheid aan webpagina's die worden gehost op openbare platforms zoals Blogspot en Pastebin, waarbij deze pagina's ook worden gebruikt als onderdeel van de Command and Control-infrastructuur van RevengeRAT die wordt gebruikt om RevengeRAT-aanvallen uit te voeren. Rapporten van de nieuwste RevengeRAT-campagne begonnen in maart 2019 te verschijnen, ook al bestaat de RevengeRAT-trojan al sinds 2016. Deze huidige malwarecampagne in verband met RevengeRAT is bekend geworden als 'Aggah' en lijkt zich te richten op grote bedrijven en overheidsnetwerken.
Inhoudsopgave
Hoe de RevengeRAT-trojan een computer aanvalt
De RevengeRAT-trojan is voor iedereen beschikbaar sinds 2016, uitgebracht op hackforums. Zodra RevengeRAT is geïnstalleerd, stelt RevengeRAT de aanvaller in staat de geïnfecteerde computer van een afstand te besturen. Met RevengeRAT kunnen criminelen toegang krijgen tot bestanden op een computerapparaat, geheugenprocessen en -services uitvoeren, de activiteiten van het slachtoffer bespioneren en wijzigingen aanbrengen aan het getroffen apparaat. Met RevengeRAT krijgen criminelen ook toegang tot randapparatuur die op de geïnfecteerde computer is aangesloten, zodat ze bijvoorbeeld toetsaanslagen op het toetsenbord van de geïnfecteerde computer kunnen volgen of toegang krijgen tot de camera of microfoon om de omgeving van de geïnfecteerde computer te volgen.
Hoe RevengeRAT wordt gedistribueerd in de Aggah-campagne
RevengeRAT is op een groot aantal verschillende manieren gedistribueerd sinds het voor het eerst werd gemaakt, waaronder typische malware-bezorgmethoden die bekend zijn, zoals het gebruik van spam-e-mailbijlagen of beschadigde online advertenties en beschadigde websites. De belangrijkste manier waarop RevengeRAT wordt geleverd in de Aggah-campagne, is via beschadigde documenten die ingesloten macro's gebruiken om RevengeRAT te downloaden en op de computer van het slachtoffer te installeren. Ingesloten macro's die aan deze campagne zijn gekoppeld, gebruiken berichten op Blogspot om een script te verkrijgen dat Pastebin-inhoud gebruikt om extra inhoud te downloaden totdat uiteindelijk RevengeRAT is geïnstalleerd en verbonden met de Command and Control-server. Het aanvankelijke lokvijlbestand, dat de RevengeRAT-aanval begint, kan op verschillende manieren worden vermomd en kan afhankelijk van het slachtoffer veranderen. Een monster dat op 27 maart 2019 werd waargenomen, werd afgeleverd in een nep-e-mailbericht van een bank met de onderwerpregel 'Uw account is vergrendeld', waardoor het slachtoffer werd misleid om het bijgevoegde bestand te openen, denkend dat het een officieel document van een bank is.
Hoe RevengeRAT een apparaat infecteert
Wanneer het slachtoffer het afleidingsbestand opent, wordt er een afbeelding weergegeven om het slachtoffer te misleiden om Microsoft Office-macro's in te schakelen. Door dit mogelijk te maken, kan RevengeRAT op de computer van het slachtoffer worden geïnstalleerd via een proces met meerdere stappen met verschillende, verschillende URL's. Zodra RevengeRAT is geïnstalleerd, schakelt dit Trojaans paard Microsoft Defender uit en probeert het andere beveiligingsinhoud op de computer van het slachtoffer uit te schakelen. De RevengeRAT-variant die bij deze recente aanvallen is geïnstalleerd, heeft de bijnaam 'Nuclear Explosion' en lijkt een typische RAT-aanval op de achterdeur uit te voeren. Op één link die is gekoppeld aan de RevengeRAT-distributie is bijna tweeduizend keer geklikt met doelen in meer dan twintig verschillende landen. Dit duidt erop dat het zeer waarschijnlijk is dat RevengeRAT-aanvallen met name het potentiële slachtoffer hebben bereikt.
Uw gegevens beschermen tegen RevengeRAT
De beste bescherming tegen RAT's zoals de RevengeRAT Trojan is om een beveiligingsproduct te hebben dat volledig up-to-date is geïnstalleerd op uw computer. Naast een betrouwbaar antimalwareprogramma adviseren malwareonderzoekers computergebruikers ook om ervoor te zorgen dat andere beveiligingsapparatuur op hun computer is ingeschakeld, zoals een betrouwbare firewall en een antispamfilter. PC-beveiligingsonderzoekers adviseren om macro's in Microsoft Office uit te schakelen en het downloaden van verdachte bestanden, met name ongevraagde e-mailbijlagen, te vermijden.
