PowerShell RAT

Cercetătorii în domeniul securității cibernetice au identificat un nou RAT (Remote Access Threat) pe care infractorii cibernetici l-au folosit împotriva țintelor din Germania. Troianul este urmărit ca PowerShell RAT și este implementat prin intermediul site-urilor web corupte folosind războiul din Ucraina ca momeală.

PowerShell RAT este echipat cu funcționalitatea tipică așteptată de amenințările de acest tip. Odată implementat pe sistemele vizate, începe să colecteze date relevante ale dispozitivului. După cum sugerează și numele, funcțiile principale ale amenințării gravitează în jurul executării comenzilor de script PowerShell. În plus, actorii amenințărilor pot exfiltra fișierele alese din sistemul încălcat sau pot implementa încărcături utile suplimentare pe acesta. Acest lucru permite atacatorilor să-și extindă capacitățile în cadrul sistemului, în funcție de obiectivele lor. Ei pot descărca și executa troieni suplimentari, amenințări ransomware, cripto-mineri etc.

Site-ul web cu momeală care răspândește PowerShell RAT este proiectat să semene îndeaproape cu site-ul web al statului german Baden-Württemberg. Actorii amenințărilor au folosit chiar și un domeniu - collaboration-bw(dot)de, care a fost asociat anterior cu site-ul oficial. Pe pagina falsă, utilizatorilor li s-ar prezenta informații exacte despre evenimentele legate de războiul din Ucraina. Site-ul va încerca să-și convingă vizitatorii să descarce un fișier numit „2022-Q2-Bedrohungslage-Ukraine.chm.txt”. Odată deschis, fișierul va afișa un mesaj de eroare fals despre o presupusă problemă, în timp ce un script compromis va fi executat în fundal în tăcere. Scriptul va iniția lanțul de infecție al PowerShell RAT.