PowerShell RAT

Исследователи кибербезопасности выявили новую RAT (угрозу удаленного доступа), которую киберпреступники использовали против целей в Германии. Троянец отслеживается как PowerShell RAT и внедряется через поврежденные веб-сайты, используя войну в Украине в качестве приманки.

PowerShell RAT обладает типичными функциями, ожидаемыми от угроз этого типа. После развертывания в целевых системах он начинает собирать соответствующие данные об устройствах. Как следует из названия, основные функции угрозы связаны с выполнением команд сценария PowerShell. Кроме того, злоумышленники могут извлечь выбранные файлы из взломанной системы или развернуть на ней дополнительные полезные нагрузки. Это позволяет злоумышленникам расширять свои возможности внутри системы в зависимости от своих целей. Они могут загружать и запускать дополнительные трояны, программы-вымогатели, криптомайнеры и т. д.

Веб-сайт-приманка, распространяющий PowerShell RAT, очень похож на государственный веб-сайт земли Баден-Вюртемберг. Субъекты угрозы даже использовали домен — Collaboration-bw(dot)de, который ранее был связан с официальным сайтом. На фейковой странице пользователям будет представлена достоверная информация о событиях, связанных с войной в Украине. Сайт попытается убедить своих посетителей загрузить файл с именем «2022-Q2-Bedrohungslage-Ukraine.chm.txt». После открытия файл будет отображать поддельное сообщение об ошибке о предполагаемой проблеме, в то время как скомпрометированный скрипт будет выполняться в фоновом режиме. Сценарий инициирует цепочку заражения PowerShell RAT.