BBSRAT
A ameaça BBSRAT é um Trojan de acesso remoto, que possui diversos recursos úteis. Essa ameaça permite que os seus operadores obtenham acesso remoto ao sistema infiltrado e fornece a capacidade de plantar cargas úteis adicionais no host. Os operadores do BBSRAT são capazes de executar comandos remotos, bem como códigos no computador violado. O BBSRAT também coleta dados sobre o software, hardware e configuração do host infectado. O malware BBSRAT pode ser usado para varios propósitos nefastos, incluindo destruição de dados, reconhecimento e outros.
Parece que os desenvolvedores da ameaça BBSRAT se chamam 'Roaming Tiger', mas não está claro de onde eles se originam ou qual é o motivo de suas operações maliciosas. O grupo de hackers Roaming Tiger provavelmente surgiu pela primeira vez em 2015-2016, quando especialistas em malware interceptaram emails de phishing escritos inteiramente em russo. Além disso, a maioria das vítimas do grupo Roaming Tiger parece estar localizada em estados de língua russa.
Para realizar seus ataques, o grupo Roaming Tiger parece contar com certas vulnerabilidades conhecidas, que podem ser encontradas em versões desatualizadas de aplicativos do Office, tais como o CVE-2012-0158. O grupo de hackers normalmente usaria um arquivo de documento, o que geraria um prompt, que instaria o usuário a clicar em 'Ativar o Conteúdo'. Se o usuário seguir as instruções, ele verá um arquivo de documento de chamariz, o qual manterá sua atenção, enquanto o script corrompido da ameaça seria executado em segundo plano por meio da vulnerabilidade CVE-2012-0158.
Para obter persistência no host violado, o BBSRAT viola o serviço de registro do Windows. Quando o BBSRAT obtiver persistência com êxito, ele poderá executar uma lista de comandos fornecidos pelo servidor de C&C (Comando & Controle) dos atacantes. Os comandos incluem:
- Fazer upload de arquivos adicionais do servidor C&C.
- Buscar estrutura de diretórios.
- Receber uma lista de arquivos.
- Listar processos ativos.
- Encerrar certos processos ativos.
- Fornecer ao C&C o feedback dos comandos executados.
- Executar, editar e excluir arquivos.
- Desinstalr a ameaça e limpar os traços da sua atividade.
Os pesquisadores de malware acreditam que o grupo Roaming Tiger pode ter introduzido atualizações à ameaça BBSRAT, pois os recursos mencionados acima foram empregados em operações durante o período 2015-2016. Verifique se o seu sistema e a sua rede estão protegidos contra o BBSRAT usando um software anti-vírus respeitável e atualizado.
URLs
BBSRAT pode chamar os seguintes URLs:
adobeflashupdate.dynu.com |
adobeflashupdate1.strangled.net |
cdaklle.housejjk.com |
futuresgolda.com |
herman.eergh.com |
jowwln.cocolco.com |
kop.gupdiic.com |
loomon.gupdiicc.com |
pagbine.ofhloe.com |
panaba.empleoy-plan.com |
peak.measurepeak.com |
prdaio.unbrtel.com |
support.yandexmailru.kr |
systemupdate5.dtdns.net |
testzake.com |
transactiona.com |
wap.gxqtc.com |
wap.hbwla.com |
wap.kylxt.com |
windowsupdate.dyn.nu |
winwordupdate.dynu.com |
www.testzake.com |
www.yunw.top |