VileRAT Malware

Ang VileRAT Malware ay isang malakas na banta na ginagamit ng mga cybercriminal upang i-target ang mga foreign currency at cryptocurrency exchange broker. Natukoy ang mga naka-target o nakompromisong organisasyon sa malawak na hanay ng mga heyograpikong lokasyon, kabilang ang Kuwait, UAE, Russian Federation, Germany, Bulgaria at higit pa.

Ayon sa isang ulat na inilathala ng mga eksperto sa malware, ang VileRAT ay naiugnay sa DeathStalker cybercrime group, isang organisasyong pinaniniwalaang nag-aalok ng mga serbisyo ng hacking-for-hire. Ang VilerRAT campaign ay nagpapakita ng mga pinahusay na kakayahan ng DeathStalker upang maiwasan ang pagtuklas sa pamamagitan ng paggamit ng mga makabagong obfuscation, multi-layer, pati na rin ang low-layer packing, in-memory na PE loader na may multi-stage execution, at kahit heuristic bypass na idinisenyo upang lokohin ang mga partikular na solusyon sa seguridad. Gayunpaman, ang panghuling payload ng VileRAT ay nakaupo pa rin sa napakalaking 10MB ang laki.

Kapag ang RAT (Remote Access Trojan) ay naisakatuparan sa nalabag na sistema, pinapayagan nito ang mga aktor ng pagbabanta na magsagawa ng mga di-makatwirang utos sa pamamagitan ng Command Prompt. Ang mga hacker ay maaari ding mag-download ng mga karagdagang file o payload, magsagawa ng mga napiling file, manipulahin ang file system, pumatay ng mga proseso, magbukas ng mga website at higit pa. Maaaring magtatag ang VileRAT ng mga gawain sa keylogging upang makakuha ng sensitibong impormasyon, tulad ng mga kredensyal ng account, mga detalye ng pag-log in, data ng pagbabayad, atbp.

Para matiyak ang patuloy na presensya nito sa infected na system, ina-activate ng VileRAT ang isang persistence mechanism sa pamamagitan ng paggawa ng mga naka-iskedyul na gawain sa pamamagitan ng Windows Task Scheduler. Ang mga hacker ng DeathStalker ay maaaring itulak ang mga update sa banta mula sa Command-and-Control server ng operasyon.