Вредоносное ПО VileRAT

Вредоносная программа VileRAT — это мощная угроза, используемая киберпреступниками для нападения на брокеров по обмену иностранной валюты и криптовалюты. Целевые или скомпрометированные организации были выявлены в самых разных географических точках, включая Кувейт, ОАЭ, Российскую Федерацию, Германию, Болгарию и другие.

Согласно отчету, опубликованному экспертами по вредоносным программам, VileRAT был приписан киберпреступной группе DeathStalker , организации, которая, как считается, предлагает услуги взлома по найму. Кампания VilerRAT демонстрирует улучшенные возможности DeathStalker по предотвращению обнаружения за счет использования современных обфускаций, многоуровневой и низкоуровневой упаковки, загрузчика PE в памяти с многоэтапным выполнением и даже эвристических обходов, предназначенных для обмануть конкретные решения безопасности. Тем не менее, окончательная полезная нагрузка VileRAT по-прежнему составляет 10 МБ.

После того, как RAT (троянец удаленного доступа) был запущен в взломанной системе, он позволяет злоумышленникам выполнять произвольные команды через командную строку. Хакеры также могут загружать дополнительные файлы или полезные данные, запускать выбранные файлы, манипулировать файловой системой, убивать процессы, открывать веб-сайты и многое другое. VileRAT может установить процедуры регистрации клавиатуры для получения конфиденциальной информации, такой как учетные данные, данные для входа в систему, платежные данные и т. д.

Чтобы гарантировать свое постоянное присутствие в зараженной системе, VileRAT активирует механизм сохранения, создавая запланированные задачи через планировщик задач Windows. Хакеры DeathStalker могут отправлять обновления об угрозе с командно-контрольного сервера операции.