VileRAT Malware

O VileRAT Malware é uma ameaça potente, usada por cibercriminosos para atingir corretores de câmbio de moeda estrangeira e cripto-moeda. Organizações direcionadas ou comprometidas foram identificadas em uma ampla variedade de localizações geográficas, incluindo Kuwait, Emirados Árabes Unidos, Federação Russa, Alemanha, Bulgária e muito mais.

De acordo com um relatório publicado por especialistas em malware, o VileRAT foi atribuído ao grupo de crimes cibernéticos DeathStalker, uma organização que se acredita oferecer serviços de hackers de aluguel. A campanha VilerRAT exibe os recursos aprimorados do DeathStalker para evitar a detecção por meio do uso de ofuscações de última geração, empacotamento multicamada e de camada baixa, carregador PE na memória com execução em vários estágios e até desvios heurísticos projetados para enganar soluções de segurança específicas. No entanto, a carga útil final do VileRAT ainda está com 10 MB de tamanho.

Depois que o RAT (Trojan de Acesso Remoto) é executado no sistema violado, ele permite que os agentes da ameaça executem comandos arbitrários por meio do Prompt de Comando. Os hackers também podem baixar arquivos ou cargas úteis adicionais, executar arquivos escolhidos, manipular o sistema de arquivos, eliminar processos, abrir sites e muito mais. O VileRAT pode estabelecer rotinas de keylogging para obter informações confidenciais, como credenciais de conta, detalhes de login, dados de pagamento, etc.

Para garantir sua presença contínua no sistema infectado, o VileRAT ativa um mecanismo de persistência criando tarefas agendadas por meio do Agendador de Tarefas do Windows. Os hackers DeathStalker podem enviar atualizações para a ameaça do servidor de Comando e Controle da operação.