Vermin RAT
O Vermin RAT é um Trojan de Acesso Remoto. Esses Trojans são usados por criminosos para obter acesso remoto a computadores infectados. Essas ameaças são usadas para conceder ao invasor controle total sobre o computador infectado. Usando esse controle, os criminosos podem realizar uma variedade de atividades para lucrar, que podem variar desde a coleta de dados até a monetização do ataque pela instalação de outro malware no computador da vítima. O Vermin RAT ganhou notoriedade porque foi usado em ataques específicos contra o Ministério da Defesa da Ucrânia. Isso levou os pesquisadores de segurança do PC a suspeitarem que o Vermin RAT faz parte de uma variedade de malwares usados em ataques apoiados pelo estado como parte das operações de espionagem e guerra cibernética.
Índice
Por Que Você Deve Evitar um Ataque do Vermin RAT
Parece que o Vermin RAT tem sido usado em ataques desde pelo menos 2015. O Vermin RAT não será implantado por si só e tem sido freqüentemente usado em conjunto com outro Trojan de Acesso Remoto, o Quasar RAT. O Vermin RAT é entregue no computador da vítima através de mensagens de e-mail corrompidas. Criminosos entregarão essas ameaças aos seus alvos criando e-mails de phishing projetados para enganar a vítima, abrindo qualquer anexo ou clicando especificamente em links incorporados. Essas mensagens de e-mail costumam ser enviadas de contas de e-mail falsificadas, fazendo parecer que o e-mail veio de dentro da organização visada ou de uma fonte confiável. Essas mensagens de e-mail conterão documentos danificados do Microsoft Word como anexos, que usam scripts de macros embutidos para baixar e instalar o Vermin RAT quando o arquivo for aberto. Os seguintes nomes foram associados a esses documentos falsos:
'Ваш_ сертиф_кати для отримання безоплатно_ вторинно_ допомоги.exe' / 'O seu certificado para free_receive help.exe'
'доповідь2.exe'/'report2.exe'
'доповідь забезпечення паливом 08.06.17.exe'/'relatório de fornecimento de combustível 08.06.17.exe'
'lg_svet_smeta2016-2017cod.exe'
'lugansk_2273_21.04.2017.exe'
'Отчет-районы_2кв-л-2016.exe'/'Report-areas_2kv-l-2016.exe'
Quando a vítima abre o documento, o Vermin RAT é deixado no computador da vítima no diretório AppData. O Vermin RAT será freqüentemente associado a algum software legítimo publicado, como Microsoft, Intel ou Adobe, para dificultar a identificação de sua presença. O Vermin RAT é escrito usando .NET e inclui fortes medidas de ofuscação projetadas para dificultar o estudo de seu conteúdo ou analisar o funcionamento interno dessa ameaça.
Como Funciona a Infecção do Vermin RAT
O Vermin RAT garante que ele permanecerá no computador da vítima, adicionando uma tarefa agendada ao Windows para garantir que o Vermin RAT seja carregado continuamente. Um aspecto do Vermin RAT que chamou a atenção é que o Vermin RAT se excluirá se o computador afetado não estiver usando um dos seguintes layouts de teclado (o que pode ajudar os criminosos a determinar se o Trojan Vermin RAT pousou em um computador ucraniano ou russo):
ru - russo
uk - ucraniano
ru-ru - russo
uk-ua - ucraniano
O objetivo principal do Vermin RAT é coletar dados valiosos e espionar as atividades do computador infectado. O Vermin RAT inclui um componente keylogger que salva os pressionamentos de tecla inseridos no computador infectado. Os criminosos também podem fazer capturas de tela do computador infectado, manipular seus arquivos e realizar qualquer atividade que pudessem realizar se estivessem sentados em frente ao computador infectado virtualmente.
Lidando com uma Infecção pelo Vermin RAT
O Vermin RAT foi projetado para permanecer oculto e funcionará em segundo plano. Por causa disso, os usuários de computador podem não perceber que estão infectados. Um aspecto do ataque da Vermin RAT que levou os usuários de computadores a perceberem que algo está errado é que o Vermin RAT tentará enviar e-mails do computador infectado, bem como abrir portas no Firewall do computador infectado. Um programa de segurança pode detectar a presença do Vermin RAT, tornando importante agendar digitalizações regulares.
