Złośliwe oprogramowanie VileRAT

Złośliwe oprogramowanie VileRAT jest potężnym zagrożeniem wykorzystywanym przez cyberprzestępców do atakowania brokerów walut obcych i kryptowalut. Organizacje atakowane lub zagrożone zostały zidentyfikowane w wielu różnych lokalizacjach geograficznych, w tym w Kuwejcie, Zjednoczonych Emiratach Arabskich, Federacji Rosyjskiej, Niemczech, Bułgarii i innych.

Według raportu opublikowanego przez ekspertów ds. złośliwego oprogramowania, VileRAT przypisano grupie cyberprzestępczej DeathStalker , organizacji, która, jak się uważa, oferuje usługi hakerskie na wynajem. Kampania VilerRAT pokazuje ulepszone możliwości DeathStalkera, aby uniknąć wykrycia dzięki zastosowaniu najnowocześniejszych zaciemniań, pakowania wielowarstwowego i niskowarstwowego, ładowania PE w pamięci z wieloetapowym wykonaniem, a nawet obejścia heurystycznego zaprojektowanego do oszukać konkretne rozwiązania zabezpieczające. Jednak ostateczny ładunek VileRAT wciąż ma ogromny rozmiar 10 MB.

Po uruchomieniu RAT (trojan zdalnego dostępu) w naruszonym systemie umożliwia on cyberprzestępcom wykonywanie dowolnych poleceń za pomocą wiersza polecenia. Hakerzy mogą również pobierać dodatkowe pliki lub ładunki, uruchamiać wybrane pliki, manipulować systemem plików, zabijać procesy, otwierać strony internetowe i nie tylko. VileRAT może ustanowić procedury keyloggera w celu uzyskania poufnych informacji, takich jak dane uwierzytelniające konta, dane logowania, dane dotyczące płatności itp.

Aby zapewnić ciągłą obecność w zainfekowanym systemie, VileRAT aktywuje mechanizm trwałości, tworząc zaplanowane zadania za pomocą Harmonogramu zadań systemu Windows. Hakerzy DeathStalker mogą przesyłać aktualizacje dotyczące zagrożenia z serwera dowodzenia i kontroli operacji.