มัลแวร์ VileRAT
มัลแวร์ VileRAT เป็นภัยคุกคามที่อาชญากรไซเบอร์ใช้เพื่อกำหนดเป้าหมายไปยังโบรกเกอร์แลกเปลี่ยนสกุลเงินต่างประเทศและสกุลเงินดิจิทัล มีการระบุองค์กรที่เป็นเป้าหมายหรือถูกบุกรุกในสถานที่ตั้งทางภูมิศาสตร์ที่หลากหลาย รวมถึงคูเวต สหรัฐอาหรับเอมิเรตส์ สหพันธรัฐรัสเซีย เยอรมนี บัลแกเรีย และอื่นๆ
ตามรายงานที่เผยแพร่โดยผู้เชี่ยวชาญด้านมัลแวร์ VileRAT นั้นมาจากกลุ่มอาชญากรไซเบอร์ DeathStalker ซึ่งเป็นองค์กรที่เชื่อว่าให้บริการแฮ็คสำหรับเช่า แคมเปญ VilerRAT แสดงให้เห็นถึงความสามารถที่ได้รับการปรับปรุงของ DeathStalker เพื่อหลีกเลี่ยงการตรวจจับผ่านการใช้ obfuscation ที่ล้ำสมัย หลายเลเยอร์ รวมถึงการบรรจุเลเยอร์ต่ำ ตัวโหลด PE ในหน่วยความจำพร้อมการดำเนินการแบบหลายขั้นตอน และแม้แต่การบายพาสแบบศึกษาสำนึกที่ออกแบบมาเพื่อ หลอกโซลูชันความปลอดภัยเฉพาะ อย่างไรก็ตาม เพย์โหลด VileRAT สุดท้ายยังคงมีขนาดใหญ่ 10MB
เมื่อ RAT (โทรจันการเข้าถึงระยะไกล) ถูกดำเนินการบนระบบที่ถูกละเมิด จะทำให้ผู้คุกคามสามารถดำเนินการคำสั่งโดยอำเภอใจผ่านทางพรอมต์คำสั่ง แฮกเกอร์ยังสามารถดาวน์โหลดไฟล์เพิ่มเติมหรือเพย์โหลด รันไฟล์ที่เลือก จัดการระบบไฟล์ ฆ่ากระบวนการ เปิดเว็บไซต์ และอื่นๆ VileRAT สามารถสร้างรูทีนการล็อกคีย์เพื่อรับข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลประจำตัวของบัญชี รายละเอียดการเข้าสู่ระบบ ข้อมูลการชำระเงิน ฯลฯ
เพื่อให้แน่ใจว่ายังคงมีอยู่ในระบบที่ติดไวรัส VileRAT เปิดใช้งานกลไกการคงอยู่โดยการสร้างงานที่กำหนดเวลาไว้ผ่าน Windows Task Scheduler แฮกเกอร์ DeathStalker สามารถผลักดันการอัปเดตภัยคุกคามจากเซิร์ฟเวอร์ Command-and-Control ของการดำเนินการ
