Zlonamerna programska oprema VileRAT

Zlonamerna programska oprema VileRAT je močna grožnja, ki jo kibernetski kriminalci uporabljajo za ciljanje na posrednike menjalnic tujih valut in kriptovalut. Ciljane ali ogrožene organizacije so bile identificirane na številnih geografskih lokacijah, vključno s Kuvajtom, ZAE, Rusko federacijo, Nemčijo, Bolgarijo in drugimi.

Glede na poročilo, ki so ga objavili strokovnjaki za zlonamerno programsko opremo, je bil VileRAT pripisan kibernetski kriminalni skupini DeathStalker, organizaciji, za katero se domneva, da ponuja storitve vdora za najem. Kampanja VilerRAT prikazuje izboljšane zmožnosti DeathStalkerja za izogibanje odkrivanju z uporabo najsodobnejših zameglitev, večplastnega in nizkoslojnega pakiranja, nalagalnika PE v pomnilniku z večstopenjskim izvajanjem in celo hevrističnih obvodov, zasnovanih za prevarati določene varnostne rešitve. Vendar je končna obremenitev VileRAT še vedno velika 10 MB.

Ko se RAT (trojanski konj za oddaljeni dostop) izvede v sistemu, ki je bil poškodovan, povzročiteljem grožnje omogoči izvajanje poljubnih ukazov prek ukaznega poziva. Hekerji lahko tudi prenesejo dodatne datoteke ali koristne obremenitve, izvajajo izbrane datoteke, manipulirajo z datotečnim sistemom, uničijo procese, odprejo spletna mesta in drugo. VileRAT lahko vzpostavi rutine beleženja tipk za pridobivanje občutljivih informacij, kot so poverilnice računa, podrobnosti za prijavo, podatki o plačilu itd.

Da bi zagotovil svojo nadaljnjo prisotnost v okuženem sistemu, VileRAT aktivira mehanizem vztrajnosti z ustvarjanjem načrtovanih nalog prek Windows Task Schedulerja. Hekerji DeathStalker lahko potisnejo posodobitve grožnje s strežnika Command-and-Control operacije.