RATVERMIN

O RATVERMIN é uma campanha de spear-phishing ameaçadora, observada no início de 2019. Os principais objetivos da campanha do RATVERMIN eram escritórios do governo na Ucrânia, o que torna possível que o RATVERMIN esteja conectado a ataques patrocinados pelo estado por um país ou governo oponente. A campanha do RATVERMIN foi projetada para fornecer uma carga ameaçadora contida em um arquivo LNK corrompido que instalava o RATVERMIN RAT ou o Trojan de acesso remoto. A campanh do RATVERMIN foi usada para fornecer o Trojan RATVERMIN, bem como o ransomware, com base na plataforma HiddenTear ransomware. Independentemente da carga, tanto a campanha do RATVERMIN quanto o malware RATVERMIN são considerados especialmente ameaçadores, e os usuários de computador são aconselhados a tomar medidas para proteger seus computadores e arquivos do RATVERMIN e de outras campanhas de malware. Algumas etapas possíveis incluem tomar precauções contra anexos de arquivos de email corrompidos que podem ser usados para fornecer o RATVERMIN e instalar e usar um programa de segurança atualizado.

A Campanha do RATVERMIN e o Malware Usados nesses Ataques

Embora a própria campanha do RATVERMIN parecesse ter começado no final de 2018 e tenha sido estudada em detalhes por pesquisadores de segurança de PC no início de 2019, há aspectos do ataque RATVERMIN que tornam óbvio que o grupo responsável pelos ataques do RATVERMIN está ativo desde pelo menos 2014, com foco em atacar alvos ucranianos o tempo todo como seus principais alvos. Durante esse período, os pesquisadores de malware observaram uma intensificação desses ataques, bem como a crescente sofisticação de como esses ataques funcionam. Em 2018, as campanhas do RATVERMIN usavam arquivos executáveis e arquivos de extração automática para realizar o ataque. No entanto, os ataques mais recentes desse tipo estão usando métodos mais sofisticados, como arquivos LNK corrompidos. O próprio malware RATVERMIN não foi observado em outros ataques.

A Campanha de Engenharia Social Utilizada nos Ataques do RATVERMIN

Os recentes ataques do RATVERMIN observados pelos pesquisadores de segurança de PC usaram mensagens projetadas para serem enviadas pela Armtrac, um fabricante de armas localizado no Reino Unido. Isso fazia parte de uma variedade de e-mails de phishing que tinham o objetivo de induzir o destinatário a abrir um script ameaçador de malware, rodando em Powershell e disfarçado de arquivo LNK com uma extensão falsa de PDF e um documento do Microsoft Word. Os anexos de arquivos corrompidos foram retirados do site oficial da Armtrac e empacotados em um arquivo, para induzir as vítimas a acreditar que os anexos eram legítimos e infectar seu computador com o malware RATVERMIN.

Componentes de Backdoor Vinculados ao Ataque do RATVERMIN

O RATVERMIN estabelece um backdoor no computador infectado. Esses cavalos de Troia são geralmente conhecidos como Ferramentas de acesso remoto ou RATs e são projetados para permitir que criminosos assumam o controle de um computador e o controlem de um local remoto. O ataque do RATVERMIN, em geral, foi usado para coletar dados do computador infectado, como registrar as teclas digitadas e copiar dados da área de transferência. No entanto, o RATVERMIN RAT tem outro potencial, pois seus módulos permitem que criminosos executem vários ataques no computador da vítima. Usando o RATVERMIN, os criminosos podem invadir o computador da vítima, coletar dados, excluir arquivos ou instalar outro malware. Eles podem até usar os periféricos do computador infectado, por exemplo, usando o microfone ou a câmera do computador afetado para espionar os arredores. Considerando o possível contexto político dos ataques do RATVERMIN, é possível que a campanha do RATVERMIN faça parte de uma campanha de espionagem maior, especificamente direcionada à Ucrânia. Isso acontece no contexto de tensões entre a Ucrânia e a Rússia, bem como um cenário político e uma guerra que envolvem esse país.