PowerShell RAT

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ระบุ RAT (Remote Access Threat) ใหม่ที่อาชญากรไซเบอร์ใช้ประโยชน์จากเป้าหมายในเยอรมนี โทรจันกำลังถูกติดตามในฐานะ PowerShell RAT และกำลังถูกใช้งานผ่านเว็บไซต์ที่เสียหายโดยใช้สงครามในยูเครนเป็นตัวล่อ

PowerShell RAT มาพร้อมกับฟังก์ชันการทำงานทั่วไปที่คาดหวังจากภัยคุกคามประเภทนี้ เมื่อปรับใช้กับระบบเป้าหมายแล้ว จะเริ่มรวบรวมข้อมูลอุปกรณ์ที่เกี่ยวข้อง ตามชื่อของมัน หน้าที่หลักของภัยคุกคามนั้นเกี่ยวข้องกับการรันคำสั่งสคริปต์ PowerShell นอกจากนี้ ผู้คุกคามสามารถกรองไฟล์ที่เลือกจากระบบที่ถูกละเมิดหรือปรับใช้เพย์โหลดเพิ่มเติมได้ ซึ่งช่วยให้ผู้โจมตีขยายขีดความสามารถภายในระบบ ขึ้นอยู่กับเป้าหมาย พวกเขาสามารถดาวน์โหลดและเรียกใช้โทรจันเพิ่มเติม ภัยคุกคามแรนซัมแวร์ ตัวขุดเข้ารหัสลับ ฯลฯ

เว็บไซต์ล่อหลอกที่เผยแพร่ PowerShell RAT ได้รับการออกแบบให้คล้ายกับเว็บไซต์ของรัฐ Baden-Württemberg ในเยอรมนีอย่างใกล้ชิด ผู้คุกคามยังใช้โดเมน -การทำงานร่วมกัน-bw(dot)de ซึ่งเคยเชื่อมโยงกับเว็บไซต์อย่างเป็นทางการแล้ว ในหน้าปลอม ผู้ใช้จะได้รับข้อมูลที่ถูกต้องเกี่ยวกับเหตุการณ์ที่เกี่ยวข้องกับสงครามในยูเครน ไซต์จะพยายามโน้มน้าวให้ผู้เยี่ยมชมดาวน์โหลดไฟล์ชื่อ '2022-Q2-Bedrohungslage-Ukraine.chm.txt' เมื่อเปิดแล้ว ไฟล์จะแสดงข้อความแสดงข้อผิดพลาดปลอมเกี่ยวกับปัญหาที่ควรจะเป็น ในขณะที่สคริปต์ที่ถูกบุกรุกจะถูกดำเนินการในพื้นหลังแบบเงียบๆ สคริปต์จะเริ่มต้นห่วงโซ่การติดไวรัสของ PowerShell RAT