Grind3lwald RAT

Badacze Infosec ustalili, że Grind3lwald jest w pełni funkcjonalnym trojanem zdalnego dostępu (RAT), który można dostosować do wykonywania wielu natrętnych i groźnych działań na zaatakowanych komputerach. Pomimo posiadania oficjalnej strony internetowej, na której jej autorzy twierdzą, że Grind3lwald nie jest przeznaczony do nielegalnej działalności, RAT jest również promowany na dedykowanych forach hakerskich. W rzeczywistości programiści Grind3lwald oferują kilka różnych planów cenowych, w zależności od pożądanej funkcjonalności zagrożenia. Najwyraźniej RAT można również poinstruować, aby działał jako program ładujący, keylogger lub złodziej.

Zazwyczaj programy ładujące są zagrożeniami na początkowym etapie, odpowiedzialnymi za dostarczanie ładunków następnego etapu. Oznacza to, że oprócz możliwości zdalnego dostępu Grind3lwald może być również wykorzystywany do wdrażania innych zagrożeń na urządzeniu ofiary, takich jak oprogramowanie ransomware, koparki kryptowalut, inne trojany i nie tylko. Z drugiej strony keyloggery to ukryte implanty zaprojektowane do szpiegowania ofiary i uzyskiwania poufnych danych prywatnych poprzez śledzenie każdego wejścia klawiatury lub myszy. Wreszcie, włączając funkcje kradzieży, Grind3lwald może próbować wydobyć prywatne dane z przeglądarek internetowych lub innych zainstalowanych aplikacji. Zazwyczaj celem atakujących jest uzyskanie danych uwierzytelniających do konta (e-maile, nazwy użytkownika i hasła), a także informacje dotyczące płatności/bankowości.

Dodatkową funkcją oferowaną przez Grind3lwald jest możliwość wykorzystywania makropoleceń w dokumentach Excela. Cyberprzestępcy często wykorzystują uszkodzone makra w swoich kampaniach ataków jako początkowy wektor włamania do atakowanych komputerów. Te makra są wstrzykiwane do uzbrojonego dokumentu przynęty i są wykonywane w momencie, gdy ofiara próbuje otworzyć plik. W większości przypadków te zhakowane pliki są rozpowszechniane za pośrednictwem kampanii spamowych e-mail.