Lime RAT

Lime RAT Opis

LimeRAT to prosty trojan zdalnego dostępu, który mimo to udostępnia szeroki zestaw nikczemnych funkcji cyberprzestępcom. Zagrożenie jest przeznaczone do infekowania systemów Windows i ma modułową kompozycję, którą można dostosować do potrzeb hakerów. Może ustanowić tylne drzwi na zaatakowanej maszynie i wykonywać dowolne polecenia. Jeśli zostaniesz o to poproszony, LimeRAT może wdrożyć ładunki koparki kryptograficznej lub zainicjować procedurę szyfrowania, która zablokuje docelowe typy plików w sposób podobny do zagrożeń ransomware. Co więcej, wszystkie pomyślnie infiltrowane systemy można dodać do botnetów.

Gdyby tego było mało, LimeRAT może również działać jako blokada ekranu lub zbieracz danych, który zbiera prywatne dane i pliki i przenosi je na swój serwer Command-and-Control (C2, C&C). Wszystkie przesłane informacje zostaną najpierw zaszyfrowane przy użyciu algorytmu kryptograficznego AES. Zagrożenie złośliwym oprogramowaniem może również wykrywać dyski USB podłączone do zainfekowanego systemu i wykorzystywać je do dalszego rozprzestrzeniania się.

LimeRAT dysponuje wieloma technikami wykrywania i unikania wirtualizacji. Może skanować w poszukiwaniu oznak uruchomienia na maszynie wirtualnej (VM) i odinstalować się w razie potrzeby.

Infekcja za pomocą starej techniki szyfrowania programu Excel

LimeRAT jest rozpowszechniany jako dokumenty programu Excel tylko do odczytu w niedawno wykrytej kampanii ataku. Dokumenty poddane trojanowi są dołączane do wiadomości phishingowych skierowanych do wybranej grupy docelowej. Decyzja o użyciu dokumentów tylko do odczytu, a nie zablokowanych jest celowa. Pliki tylko do odczytu nie wymagają otwierania hasła i mogą być również wykorzystane w starej technice wykorzystywania programu Excel. Po wykonaniu takiego pliku program Excel spróbuje odszyfrować go za pomocą osadzonego, domyślnego hasła - „VelvetSweatshop”, jednocześnie włączając wbudowane makra i umożliwiając uszkodzonemu ładunkowi zainicjowanie łańcucha ataków. Początki tej techniki sięgają 2013 roku, a exploitowi przypisano oznaczenie CVE-2012-0158. Chociaż problem został rozwiązany dawno temu, wydaje się, że cyberprzestępcy ponownie do niego wracają, próbując zainfekować nowe ofiary.