ПоверСхелл РАТ

Истраживачи кибернетичке безбедности идентификовали су нови РАТ (Ремоте Аццесс Тхреат) који су сајбер криминалци искористили против мета у Немачкој. Тројанац се прати као ПоверСхелл РАТ и користи се преко оштећених веб локација користећи рат у Украјини као мамац.

ПоверСхелл РАТ је опремљен типичном функционалношћу која се очекује од претњи овог типа. Након што се примени на циљаним системима, почиње да прикупља релевантне податке о уређају. Као што му име сугерише, примарне функције претње се врте око извршавања команди ПоверСхелл скрипте. Поред тога, актери претњи могу да ексфилтрирају изабране датотеке из пробијеног система или да на њега распореде додатни терет. Ово омогућава нападачима да прошире своје могућности унутар система, у зависности од њихових циљева. Они могу да преузимају и извршавају додатне тројанце, претње рансомваре-а, крипто рударе итд.

Веб локација за мамце која шири ПоверСхелл РАТ је дизајнирана тако да личи на немачку државну веб страницу Баден-Виртемберга. Актери претњи су чак користили домен - цоллаборатион-бв(дот)де, који је раније био повезан са званичним сајтом. На лажној страници корисницима би се презентовале тачне информације о догађајима који се тичу рата у Украјини. Сајт ће покушати да убеди своје посетиоце да преузму датотеку под називом „2022-К2-Бедрохунгслаге-Украине.цхм.ткт“. Када се отвори, датотека ће приказати лажну поруку о грешци о наводном проблему, док ће се компромитована скрипта нечујно извршавати у позадини. Скрипта ће покренути ланац инфекције ПоверСхелл РАТ-а.