Škodlivý softvér VileRAT

VileRAT Malware je silná hrozba, ktorú používajú počítačoví zločinci na zacielenie na maklérov výmeny cudzej meny a kryptomien. Cielené alebo kompromitované organizácie boli identifikované v širokej škále geografických oblastí vrátane Kuvajtu, Spojených arabských emirátov, Ruskej federácie, Nemecka, Bulharska a ďalších.

Podľa správy, ktorú zverejnili experti na malvér, bol VileRAT pripísaný skupine kyberzločinu DeathStalker , organizácii, o ktorej sa predpokladá, že ponúka služby hackingu na prenájom. Kampaň VilerRAT ukazuje vylepšené schopnosti DeathStalkera vyhnúť sa detekcii pomocou najmodernejších zahmlievaní, viacvrstvového, ako aj nízkovrstvového balenia, in-memory PE loaderu s viacstupňovým vykonávaním a dokonca aj heuristických bypassov navrhnutých tak, aby oklamať špecifické bezpečnostné riešenia. Konečné užitočné zaťaženie VileRAT však stále má obrovskú veľkosť 10 MB.

Po spustení RAT (Remote Access Trojan) na narušenom systéme umožňuje aktérom hrozby vykonávať ľubovoľné príkazy prostredníctvom príkazového riadka. Hackeri môžu tiež sťahovať ďalšie súbory alebo užitočné zaťaženia, spúšťať vybrané súbory, manipulovať so súborovým systémom, zabíjať procesy, otvárať webové stránky a ďalšie. VileRAT môže vytvoriť rutiny zaznamenávania kľúčov na získanie citlivých informácií, ako sú poverenia účtu, prihlasovacie údaje, platobné údaje atď.

Aby sa zabezpečila jeho trvalá prítomnosť v infikovanom systéme, VileRAT aktivuje mechanizmus perzistencie vytvorením naplánovaných úloh cez Windows Task Scheduler. Hackeri DeathStalker môžu tlačiť aktualizácie hrozby zo servera Command-and-Control operácie.