VileRAT Malware

VileRAT Malware este o amenințare puternică folosită de infractorii cibernetici pentru a viza brokerii de schimb valutar și criptomonede. Au fost identificate organizații vizate sau compromise într-o gamă largă de locații geografice, inclusiv Kuweit, Emiratele Arabe Unite, Federația Rusă, Germania, Bulgaria și multe altele.

Potrivit unui raport publicat de experți în malware, VileRAT a fost atribuit grupului de criminalitate cibernetică DeathStalker , o organizație despre care se crede că oferă servicii de hacking-for-hire. Campania VilerRAT prezintă capacitățile îmbunătățite ale DeathStalker pentru a evita detectarea prin utilizarea ofuscarilor de ultimă generație, multi-strat, precum și a ambalajului cu strat inferior, încărcător PE în memorie cu execuție în mai multe etape și chiar ocoliri euristice concepute pentru prosti solutiile de securitate specifice. Cu toate acestea, sarcina utilă finală VileRAT este încă la o dimensiune masivă de 10 MB.

Odată ce RAT (Remote Access Trojan) a fost executat pe sistemul încălcat, acesta permite actorilor amenințărilor să execute comenzi arbitrare prin Command Prompt. De asemenea, hackerii pot descărca fișiere sau încărcături suplimentare, pot executa fișiere alese, pot manipula sistemul de fișiere, ucide procese, deschid site-uri web și multe altele. VileRAT poate stabili rutine de înregistrare a tastelor pentru a obține informații sensibile, cum ar fi acreditările contului, detaliile de conectare, datele de plată etc.

Pentru a-și asigura prezența continuă pe sistemul infectat, VileRAT activează un mecanism de persistență prin crearea de sarcini programate prin Windows Task Scheduler. Hackerii DeathStalker pot trimite actualizări ale amenințării de pe serverul de comandă și control al operațiunii.