PowerShell RAT

Дослідники кібербезпеки виявили нову загрозу віддаленого доступу (RAT), яку кіберзлочинці використали проти цілей у Німеччині. Троян відстежується як PowerShell RAT, і його розгортають через пошкоджені веб-сайти, використовуючи війну в Україні як приманку.

PowerShell RAT оснащений типовою функціональністю, яка очікується від загроз такого типу. Після розгортання в цільових системах він починає збирати відповідні дані пристрою. Як випливає з назви, основні функції загрози пов’язані з виконанням команд сценарію PowerShell. Крім того, суб’єкти загроз можуть вилучити вибрані файли із зламаної системи або розгорнути в ній додаткові корисні навантаження. Це дозволяє зловмисникам розширювати свої можливості в системі залежно від їхніх цілей. Вони можуть завантажувати та запускати додаткові трояни, загрози програм-вимагачів, крипто-майнери тощо.

Веб-сайт приманки, що розповсюджує PowerShell RAT, дуже нагадує німецький державний веб-сайт Баден-Вюртемберга. Зловмисники навіть використовували домен – collaboration-bw(dot)de, який раніше був пов’язаний з офіційним сайтом. На фейковій сторінці користувачам буде представлена точна інформація про події, пов’язані з війною в Україні. Сайт намагатиметься переконати своїх відвідувачів завантажити файл під назвою «2022-Q2-Bedrohungslage-Ukraine.chm.txt». Після відкриття файл відобразить фальшиве повідомлення про помилку про передбачувану проблему, а зламаний сценарій буде виконуватися у фоновому режимі без звуку. Сценарій ініціює ланцюг зараження PowerShell RAT.