PowerShell RAT

Pesquisadores de segurança cibernética identificaram um novo RAT (Ameaça de Acesso Remoto) que os cibercriminosos usaram contra alvos na Alemanha. O Trojan está sendo rastreado como o PowerShell RAT e está sendo implantado por meio de sites corrompidos usando a guerra na Ucrânia como isca.

O PowerShell RAT está equipado com a funcionalidade típica esperada de ameaças desse tipo. Uma vez implantado nos sistemas visados, ele começa a coletar dados relevantes do dispositivo. Como o próprio nome sugere, as principais funções da ameaça giram em torno da execução de comandos de script do PowerShell. Além disso, os agentes de ameaças podem exfiltrar arquivos escolhidos do sistema violado ou implantar cargas adicionais nele. Isso permite que os invasores expandam seus recursos dentro do sistema, dependendo de seus objetivos. Eles podem baixar e executar Trojans adicionais, ameaças de ransomware, mineradores de cripto-moeda, etc.

O site chamativo que divulga o PowerShell RAT foi projetado para se assemelhar ao site do estado alemão de Baden-Württemberg. Os agentes de ameaças até usaram um domínio - collaboration-bw(dot)de, que já foi associado ao site oficial. Na página falsa, os usuários receberiam informações precisas sobre os eventos relacionados à guerra na Ucrânia. O site tentará convencer seus visitantes a baixar um arquivo chamado '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Uma vez aberto, o arquivo exibirá uma mensagem de erro falsa sobre um suposto problema, enquanto um script comprometido será executado em segundo plano silenciosamente. O script iniciará a cadeia de infecção do PowerShell RAT.