PowerShell RAT

Studiuesit e sigurisë kibernetike kanë identifikuar një RAT të ri (Kërcënimi i Qasjes në Distanca) që kriminelët kibernetikë kanë përdorur kundër objektivave në Gjermani. Trojani po gjurmohet si PowerShell RAT dhe po shpërndahet përmes faqeve të internetit të korruptuara duke përdorur luftën në Ukrainë si një joshje.

PowerShell RAT është i pajisur me funksionalitetin tipik që pritet nga kërcënimet e këtij lloji. Pasi të vendoset në sistemet e synuara, ai fillon të mbledhë të dhënat përkatëse të pajisjes. Siç sugjeron emri i tij, funksionet kryesore të kërcënimit rrotullohen rreth ekzekutimit të komandave të skriptit PowerShell. Përveç kësaj, aktorët e kërcënimit mund të nxjerrin skedarë të zgjedhur nga sistemi i shkelur ose të vendosin ngarkesa shtesë mbi të. Kjo i lejon sulmuesit të zgjerojnë aftësitë e tyre brenda sistemit, në varësi të qëllimeve të tyre. Ata mund të shkarkojnë dhe ekzekutojnë trojanë shtesë, kërcënime ransomware, kripto-minatorë, etj.

Faqja e internetit joshëse që përhap PowerShell RAT është krijuar për t'i ngjasuar shumë faqes së internetit shtetërore gjermane të Baden-Württemberg. Aktorët e kërcënimit madje përdorën një domen - collaboration-bw(dot)de, që më parë është lidhur me faqen zyrtare. Në faqen e rreme, përdoruesve do t'u paraqitej informacion i saktë për ngjarjet në lidhje me luftën në Ukrainë. Faqja do të përpiqet të bindë vizitorët e saj që të shkarkojnë një skedar të quajtur '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Pasi të hapet, skedari do të shfaqë një mesazh gabimi të rremë për një problem të supozuar, ndërsa një skript i komprometuar do të ekzekutohet në sfond në heshtje. Skripti do të inicojë zinxhirin e infeksionit të PowerShell RAT.