PowerShell RAT

Cybersäkerhetsforskare har identifierat en ny RAT (Remote Access Threat) som cyberbrottslingar har utnyttjat mot mål i Tyskland. Trojanen spåras som PowerShell RAT, och den distribueras via korrupta webbplatser med kriget i Ukraina som ett lockbete.

PowerShell RAT är utrustad med den typiska funktionalitet som förväntas av hot av denna typ. När den väl har installerats på de riktade systemen börjar den samla in relevant enhetsdata. Som namnet antyder kretsar hotets primära funktioner kring att utföra PowerShell-skriptkommandon. Dessutom kan hotaktörerna exfiltrera valda filer från det brutna systemet eller distribuera ytterligare nyttolaster på det. Detta gör att angriparna kan utöka sina möjligheter inom systemet, beroende på deras mål. De kan ladda ner och köra ytterligare trojaner, ransomware-hot, krypto-gruvarbetare, etc.

Lockewebbplatsen som sprider PowerShell RAT är designad för att likna den tyska statens webbplats Baden-Württemberg. Hotaktörerna använde till och med en domän - collaboration-bw(dot)de, som tidigare har associerats med den officiella webbplatsen. På den falska sidan skulle användarna presenteras med korrekt information om händelserna som rör kriget i Ukraina. Webbplatsen kommer att försöka övertyga sina besökare att ladda ner en fil med namnet '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' När den väl har öppnats kommer filen att visa ett falskt felmeddelande om ett förmodat problem, medan ett komprometterat skript kommer att köras i bakgrunden tyst. Skriptet kommer att initiera PowerShell RAT:s infektionskedja.