PowerShell RAT

Badacze cyberbezpieczeństwa zidentyfikowali nowy RAT (Remote Access Threat), który cyberprzestępcy wykorzystali przeciwko celom w Niemczech. Trojan jest śledzony jako PowerShell RAT i jest wdrażany za pośrednictwem skorumpowanych stron internetowych, wykorzystując jako przynętę wojnę na Ukrainie.

PowerShell RAT jest wyposażony w typową funkcjonalność oczekiwaną od zagrożeń tego typu. Po wdrożeniu w docelowych systemach zaczyna zbierać odpowiednie dane urządzeń. Jak sama nazwa wskazuje, podstawowe funkcje zagrożenia obracają się wokół wykonywania poleceń skryptowych PowerShell. Ponadto cyberprzestępcy mogą eksfiltrować wybrane pliki z naruszonego systemu lub instalować na nim dodatkowe ładunki. Pozwala to atakującym na rozszerzenie swoich możliwości w systemie, w zależności od ich celów. Mogą pobierać i uruchamiać dodatkowe trojany, zagrożenia ransomware, koparki kryptowalut itp.

Witryna przynęty rozpowszechniająca PowerShell RAT została zaprojektowana tak, aby bardzo przypominać witrynę niemieckiego stanu Badenia-Wirtembergia. Cyberprzestępcy używali nawet domeny -collaboration-bw(dot)de, która była wcześniej powiązana z oficjalną witryną. Na fałszywej stronie użytkownikom prezentowane byłyby dokładne informacje o wydarzeniach związanych z wojną na Ukrainie. Witryna będzie próbowała przekonać odwiedzających do pobrania pliku o nazwie „2022-Q2-Bedrohungslage-Ukraine.chm.txt”. Po otwarciu plik wyświetli fałszywy komunikat o błędzie dotyczący domniemanego problemu, podczas gdy skompromitowany skrypt zostanie po cichu wykonany w tle. Skrypt zainicjuje łańcuch infekcji PowerShell RAT.