ROKRAT

ROKRAT

O ROKRAT é um RAT (Trojan de Acesso Remoto) e uma família de malware também detectada como DOGcall, que pode tirar proveito de um documento corrompido do Hangul Word Processor (HWP) que inclui um gadget EPS encapsulado e pode ser disseminado através de spear phishing, e-mail corrompido anexos, documentos do Office contendo macros e sites comprometidos. O EPS é usado para explorar uma vulnerabilidade estabelecida (CVE-2013-0808), que fará o download do ROKRAT representando um arquivo .jpg. Os servidores de Comando e Controle (C&C) usados pelo ROKRAT são sites legais autênticos. O ROKRAT usa as plataformas Yandex & Mediafire, Twitter e nuvem para comunicação com seus servidores de comando e controle e como plataformas de escape.

Ao usar o ROKRAT, os invasores podem coletar dados de login, exfiltrar informações, fazer capturas de tela do sistema infectado e instalar outros softwares, incluindo malware, em uma rede. O ROKRAT instala um shellcode na memória, após o qual ele tentará se apagar do sistema infectado. O shellcode será usado para remover o estágio inicial do ofuscamento de código. Após a remoção da ofuscação inicial, ele injetará a carga útil do ROKRAT no processo wscript.exe, que decodificará a carga útil. Em seguida, ele irá injetar uma DLL decodificada na memória. Então ROKRAT vai começar a fazer o que está configurado para doROKRAT a primeira tarefa é coletar dados sobre o sistema operacional. Em seguida, será o nome de usuário do computador e o FQP do módulo em uso. O ROKRAT também pode verificar por sandbox e bibliotecas, enviar e coletar arquivos, monitorar os processos em execução no sistema atualmente, verificar se há dispositivos de depuração e muito mais.

O ROKRAT é outro RAT que está entre as ameaças usadas pelo APT37 para atacar computadores localizados na Coréia do Sul e está ativo desde 2016. Malwares como o ROKRAT são muito sorrateiros, o que torna sua detecção e remoção uma tarefa complicada. É por isso que o método de remoção recomendado por especialistas é usar um produto de remoção de malware atualizado e confiável.

Tendendo

Mais visto

Carregando...