PowerShell RAT

Raziskovalci kibernetske varnosti so odkrili novo grožnjo RAT (remote Access Threat), ki so jo kibernetski kriminalci uporabili proti tarčam v Nemčiji. Trojancu sledijo kot PowerShell RAT in ga uporabljajo prek poškodovanih spletnih mest z vojno v Ukrajini kot vabo.

PowerShell RAT je opremljen s tipično funkcionalnostjo, ki se pričakuje od groženj te vrste. Ko je nameščen v ciljnih sistemih, začne zbirati ustrezne podatke o napravi. Kot že ime pove, se primarne funkcije grožnje vrtijo okoli izvajanja ukazov skripta PowerShell. Poleg tega lahko akterji grožnje izločijo izbrane datoteke iz vlomljenega sistema ali nanj namestijo dodatne koristne obremenitve. To napadalcem omogoča, da razširijo svoje zmogljivosti znotraj sistema, odvisno od njihovih ciljev. Lahko prenesejo in izvajajo dodatne trojance, grožnje z izsiljevalsko programsko opremo, kripto-rudarje itd.

Spletno mesto za vabe, ki širi PowerShell RAT, je zasnovano tako, da zelo spominja na nemško državno spletno mesto Baden-Württemberg. Akterji grožnje so uporabili celo domeno – collaboration-bw(dot)de, ki je bila prej povezana z uradno stranjo. Na lažni strani bi uporabnikom predstavili točne informacije o dogodkih v zvezi z vojno v Ukrajini. Spletno mesto bo svoje obiskovalce poskušalo prepričati, da prenesejo datoteko z imenom »2022-Q2-Bedrohungslage-Ukraine.chm.txt«. Ko je datoteka odprta, bo prikazano lažno sporočilo o napaki o domnevni težavi, medtem ko se bo ogrožen skript v ozadju izvajal tiho. Skript bo sprožil verigo okužbe PowerShell RAT.