PowerShell RAT

Siber güvenlik araştırmacıları, siber suçluların Almanya'daki hedeflere karşı kullandığı yeni bir RAT (Uzaktan Erişim Tehdidi) belirledi. Truva atı, PowerShell RAT olarak izleniyor ve Ukrayna'daki savaşı bir cazibe olarak kullanan bozuk web siteleri aracılığıyla dağıtılıyor.

PowerShell RAT, bu tür tehditlerden beklenen tipik işlevsellik ile donatılmıştır. Hedeflenen sistemlere yerleştirildikten sonra ilgili cihaz verilerini toplamaya başlar. Adından da anlaşılacağı gibi, tehdidin birincil işlevleri, PowerShell komut dosyası komutlarını yürütme etrafında döner. Ayrıca, tehdit aktörleri, ihlal edilen sistemden seçilen dosyaları sızdırabilir veya sisteme ek yükler yerleştirebilir. Bu, saldırganların hedeflerine bağlı olarak sistem içindeki yeteneklerini genişletmelerini sağlar. Ek Truva atları, fidye yazılımı tehditleri, kripto madencileri vb. indirebilir ve yürütebilirler.

PowerShell RAT'ı yayan cazibe web sitesi, Baden-Württemberg Alman eyalet web sitesine çok benzeyecek şekilde tasarlanmıştır. Tehdit aktörleri, daha önce resmi siteyle ilişkilendirilen bir alan adı olan işbirliği-bw(dot)de bile kullandılar. Sahte sayfada, kullanıcılara Ukrayna'daki savaşla ilgili olaylar hakkında doğru bilgiler sunulacak. Site, ziyaretçilerini '2022-Q2-Bedrohungslage-Ukraine.chm.txt' adlı bir dosyayı indirmeye ikna etmeye çalışacak. Dosya açıldığında, varsayılan bir sorun hakkında sahte bir hata mesajı görüntülerken, güvenliği ihlal edilmiş bir komut dosyası arka planda sessizce yürütülür. Komut dosyası, PowerShell RAT'ın bulaşma zincirini başlatır.