GravityRAT

O GravityRAT é um Trojan de Acesso Remoto (RAT) distribuído através de documentos com macros corrompidos. A primeira versão do GravityRAT tinha a capacidade de coletar informações nos sistemas comprometidos, tais como endereço do MAC, nome do computador, endereço de IP, nome do usuário, datas, volumes mapeados no sistema, bem como quaisquer arquivos que possuíssem as seguintes extensões: .docx,. doc, .pptx, .ppt, .xlsx, .xls, .pdf e .rtf.

A segunda versão do RAT expande isso, adicionando a capacidade de abrir portas no host vitimado, executando o comando Netstat, bem como listando quaisquer processos em execução, serviços disponíveis, retirando arquivos .ppt e .pptx, reunindo arquivos em quaisquer chaves USB conectadas ao sistema. Ele também suporta a criptografia de arquivos AES com a chave 'lolomycin2017', coletando ainda mais informações sobre a conta, tais como o tipo de conta, o nome do domínio, o nome completo, SID, status e descrição. Ele também verifica se o sistema é uma máquina virtual através de várias técnicas diferentes, potencialmente tentando verificar se o host é executado em uma delas.

O que o GravityRAT faz é usar muitas técnicas de evasão das máquinas virtuais, tais como verificar o número de núcleos do CPU, encerrando a si mesmo se houver apenas um núcleo, solicitando detalhes da temperatura do hardware (que as máquinas virtuais normalmente não fornecem), verificando o nome do usuário, se o endereço do MAC coincide com o usado pelos fornecedores de máquinas virtuais mais populares, bem como a presença de software de uma lista de ferramentas de análise e dissecção de malware usadas em operações de anti-malware.