Deed RAT

As ameaças RAT (Remote Access Trojan) são projetadas para fornecer aos cibercriminosos acesso remoto não autorizado aos sistemas violados. Normalmente, essas ameaças podem conter um conjunto diversificado de recursos intrusivos e podem ser implantadas como parte de diferentes operações de ataque. O Deed RAT não é exceção e pode ser instruído a realizar inúmeras ações, com base nos objetivos específicos dos atacantes. Deve-se notar que o Deed RAT não é uma nova ameaça. Na verdade, já existe há bastante tempo. No entanto, recentemente, os pesquisadores da infosec notaram um aumento na atividade do Deed RAT, envolvendo novas variantes com um conjunto atualizado de recursos ameaçadores. Acredita-se que os agentes de ameaças chineses envolvidos em espionagem cibernética estejam por trás do interesse renovado na ameaça.

O Deed RAT é uma ameaça modular que é entregue através do carregador de módulo principal. Ele consiste em três seções separadas, cada uma com diferentes direitos de acesso. Por sua vez, o backdoor principal é capaz de carregar e gerenciar plugins com funções específicas. Por exemplo, a seção de dados contém oito plugins criptografados. Em geral, cada um dos plugins identificados é capaz de realizar cinco operações utilitárias. O plug-in de rede é responsável por extrair o endereço do servidor Command-and-Control (C2, C&C) como uma string de URL.

A ameaça pode coletar informações do sistema, criar uma conexão remota separada que permite que os invasores trabalhem com os plug-ins, desativem a conexão remota e se removam para cobrir os rastros dos hackers. Além disso, o Deed RAT pode interagir e modificar o Registro do Windows.