VileRAT-malware

De VileRAT-malware is een krachtige bedreiging die door cybercriminelen wordt gebruikt om valuta- en cryptocurrency-uitwisselingsmakelaars aan te vallen. Getargete of gecompromitteerde organisaties zijn geïdentificeerd op een groot aantal geografische locaties, waaronder Koeweit, de VAE, de Russische Federatie, Duitsland, Bulgarije en meer.

Volgens een rapport gepubliceerd door malware-experts, is VileRAT toegeschreven aan de DeathStalker cybercrime-groep, een organisatie die vermoedelijk hacking-for-hire-diensten aanbiedt. De VilerRAT-campagne toont de verbeterde mogelijkheden van DeathStalker om detectie te voorkomen door het gebruik van geavanceerde verduisteringen, meerlagige en laaglaagse verpakking, in-memory PE-lader met meertrapsuitvoering en zelfs heuristische bypasses die zijn ontworpen om specifieke beveiligingsoplossingen voor de gek houden. De uiteindelijke VileRAT-payload is echter nog steeds maar liefst 10 MB groot.

Zodra de RAT (Remote Access Trojan) is uitgevoerd op het geschonden systeem, kunnen de bedreigingsactoren willekeurige opdrachten uitvoeren via de opdrachtprompt. De hackers kunnen ook extra bestanden of payloads downloaden, gekozen bestanden uitvoeren, het bestandssysteem manipuleren, processen doden, websites openen en meer. VileRAT kan keylogging-routines instellen om gevoelige informatie te verkrijgen, zoals accountgegevens, inloggegevens, betalingsgegevens, enz.

Om zijn voortdurende aanwezigheid op het geïnfecteerde systeem te verzekeren, activeert VileRAT een persistentiemechanisme door geplande taken te creëren via Windows Taakplanner. De DeathStalker-hackers kunnen updates naar de dreiging pushen vanaf de Command-and-Control-server van de operatie.