Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ușile din spate Programe malware RokRAT

Programe malware RokRAT

Până în Mezo în Ușile din spate, Amenințare persistentă avansată (APT)
Tradu in:

Grupul de amenințări nord-coreean APT37 (cunoscut și sub numele de ScarCruft) a fost asociat cu o campanie cibernetică sofisticată, în mai multe etape, care utilizează ingineria socială prin intermediul Facebook. Atacatorii inițiază contactul prin trimiterea de cereri de prietenie, construind treptat încredere înainte de a transforma interacțiunea într-un canal de distribuție a programelor malware. Această manipulare calculată permite, în cele din urmă, implementarea trojanului de acces la distanță RokRAT.

Arma preferată: Evoluția RokRAT

RokRAT rămâne principalul malware utilizat de grup și a evoluat semnificativ în timp, cu adaptări pentru platforme precum macOS și Android. Dezvoltarea sa continuă evidențiază investiții operaționale susținute.

Malware-ul este capabil să execute o gamă largă de activități rău intenționate, inclusiv:

  • Colectarea acreditărilor și exfiltrarea datelor sensibile
  • Captură de ecran și recunoaștere a sistemului
  • Executarea comenzilor și a codului shell
  • Manipularea fișierelor și directoarelor

Pentru a-și ascunde operațiunile, variantele anterioare stocau date furate în formate de fișiere MP3. În plus, RokRAT își deghizează comunicațiile de comandă și control (C2) prin rutarea datelor prin platforme cloud legitime, cum ar fi Dropbox, Microsoft OneDrive, pCloud și Yandex Cloud.

Încrederea ca vector de atac: Manipularea rețelelor sociale

Campania începe cu crearea unor personaje frauduloase pe Facebook, despre care se pare că au sediul în Phenian și Phenian. Aceste conturi sunt folosite pentru a identifica și evalua potențialele victime. Odată ce se stabilește o conexiune, conversațiile se mută pe Messenger, unde sunt introduse subiecte atent selectate pentru a consolida încrederea și implicarea.

O tactică critică utilizată este pretextarea, convingând țintele să instaleze un vizualizator PDF specializat sub premisa falsă că acesta este necesar pentru accesarea documentelor militare criptate. Aplicația furnizată este o versiune modificată a Wondershare PDFelement, încorporată cu cod shell malițios. La executare, acest program de instalare inițiază compromiterea acordând atacatorilor acces inițial la sistem.

Înșelăciune stratificată: tehnici avansate de livrare și evitare

Lanțul de atac demonstrează un grad ridicat de sofisticare prin combinarea mai multor strategii de evitare:

  • Utilizarea de software legitim troian pentru a evita suspiciunile
  • Exploatarea infrastructurii web compromise, dar de încredere, pentru operațiuni C2
  • Deghizarea sarcinilor utile malițioase sub formă de fișiere benigne, cum ar fi imagini JPG

În special, atacatorii au folosit un site web compromis, legat de sucursala din Seul a unui serviciu imobiliar japonez, pentru a distribui comenzi și sarcini utile. Sarcina utilă din a doua etapă apare ca un fișier imagine inofensiv, ascunzând implementarea finală RokRAT.

Execuție în mai multe etape: de la contactul social la compromisul complet

Secvența de atac progresează prin mai multe etape coordonate. Actorii amenințători au creat conturi de Facebook numite „richardmichael0828” și „johnsonsophia0414” pe 10 noiembrie 2025. După stabilirea relației, comunicarea este redirecționată către Telegram, unde victimele primesc o arhivă ZIP care conține vizualizatorul PDF malițios, documente capcană și instrucțiuni de instalare.

Executarea programului de instalare compromis declanșează un cod shell criptat, care se conectează la un domeniu C2 și preia o sarcină utilă secundară deghizată sub forma unui fișier imagine JPG. Acest fișier livrează în cele din urmă malware-ul RokRAT complet.

Comandă și control bazate pe cloud: integrarea în traficul legitim

RokRAT își îmbunătățește și mai mult abilitatea de ascundere a atacurilor prin abuzul de Zoho WorkDrive ca parte a infrastructurii sale C2, o metodă observată și în campania „Ruby Jumper” identificată la începutul anului 2026. Prin această abordare, malware-ul îndeplinește funcții precum captura de capturi de ecran, executarea de comenzi la distanță prin intermediul shell-urilor de sistem, colectarea de date ale gazdei și evaziunea de securitate.

Focus strategic: Stabilitate în funcție, inovație în livrare

Deși capacitățile de bază ale RokRAT au rămas în mare parte constante în toate operațiunile, mecanismele sale de livrare și tacticile de evitare continuă să evolueze. Această concentrare strategică demonstrează o concentrare deliberată pe îmbunătățirea vectorilor de infecție și a tehnicilor stealth, mai degrabă decât pe modificarea funcționalității fundamentale a malware-ului.

Trending

Înșelătorie prin e-mail prin verificare de...

phishing, Spam
Precauția în gestionarea e-mailurilor neașteptate este esențială pentru menținerea securității online. Infractorii cibernetici deghizează frecvent mesajele rău intenționate în comunicări legitime pentru a exploata încrederea și urgența. Așa-numita escrocherie prin e-mail de tipul „Verificare de securitate necesară” este un exemplu excelent al acestei tactici. Aceste e-mailuri nu sunt asociate...

Cele mai văzute

Se încarcă...