ROKRAT
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 80 % (Alto) |
| Computadores infectados: | 3 |
| Visto pela Primeira Vez: | May 17, 2019 |
| Visto pela Última Vez: | March 21, 2022 |
| SO (s) Afetados: | Windows |
O ROKRAT é um RAT (Trojan de Acesso Remoto) e uma família de malware também detectada como DOGcall, que pode tirar proveito de um documento corrompido do Hangul Word Processor (HWP) que inclui um gadget EPS encapsulado e pode ser disseminado através de spear phishing, e-mail corrompido anexos, documentos do Office contendo macros e sites comprometidos. O EPS é usado para explorar uma vulnerabilidade estabelecida (CVE-2013-0808), que fará o download do ROKRAT representando um arquivo .jpg. Os servidores de Comando e Controle (C&C) usados pelo ROKRAT são sites legais autênticos. O ROKRAT usa as plataformas Yandex & Mediafire, Twitter e nuvem para comunicação com seus servidores de comando e controle e como plataformas de escape.
Ao usar o ROKRAT, os invasores podem coletar dados de login, exfiltrar informações, fazer capturas de tela do sistema infectado e instalar outros softwares, incluindo malware, em uma rede. O ROKRAT instala um shellcode na memória, após o qual ele tentará se apagar do sistema infectado. O shellcode será usado para remover o estágio inicial do ofuscamento de código. Após a remoção da ofuscação inicial, ele injetará a carga útil do ROKRAT no processo wscript.exe, que decodificará a carga útil. Em seguida, ele irá injetar uma DLL decodificada na memória. Então ROKRAT vai começar a fazer o que está configurado para doROKRAT a primeira tarefa é coletar dados sobre o sistema operacional. Em seguida, será o nome de usuário do computador e o FQP do módulo em uso. O ROKRAT também pode verificar por sandbox e bibliotecas, enviar e coletar arquivos, monitorar os processos em execução no sistema atualmente, verificar se há dispositivos de depuração e muito mais.
O ROKRAT é outro RAT que está entre as ameaças usadas pelo APT37 para atacar computadores localizados na Coréia do Sul e está ativo desde 2016. Malwares como o ROKRAT são muito sorrateiros, o que torna sua detecção e remoção uma tarefa complicada. É por isso que o método de remoção recomendado por especialistas é usar um produto de remoção de malware atualizado e confiável.
