Шкідливе програмне забезпечення VileRAT

Зловмисне програмне забезпечення VileRAT — це потужна загроза, яку використовують кіберзлочинці для нападу на брокерів обміну іноземної валюти та криптовалюти. Цільові або скомпрометовані організації були виявлені в багатьох географічних місцях, включаючи Кувейт, ОАЕ, Російську Федерацію, Німеччину, Болгарію тощо.

Відповідно до звіту, опублікованого експертами зі зловмисного програмного забезпечення, VileRAT приписують кіберзлочинній групі DeathStalker, організації, яка, як вважають, пропонує послуги хакерства за наймом. Кампанія VilerRAT демонструє покращені можливості DeathStalker для уникнення виявлення за допомогою використання найсучасніших обфускацій, багатошарового та низькорівневого пакування, PE-завантажувача в пам’яті з багатоетапним виконанням і навіть евристичних обходів, призначених для обдурити конкретні рішення безпеки. Однак кінцеве корисне навантаження VileRAT все ще має величезний розмір 10 МБ.

Після запуску RAT (троян віддаленого доступу) у зламаній системі він дозволяє суб’єктам загрози виконувати довільні команди через командний рядок. Хакери також можуть завантажувати додаткові файли або корисне навантаження, виконувати вибрані файли, маніпулювати файловою системою, вбивати процеси, відкривати веб-сайти тощо. VileRAT може встановлювати процедури клавіатурного журналу для отримання конфіденційної інформації, такої як облікові дані облікового запису, дані для входу, платіжні дані тощо.

Щоб забезпечити постійну присутність в зараженій системі, VileRAT активує механізм збереження, створюючи заплановані завдання за допомогою планувальника завдань Windows. Хакери DeathStalker можуть надсилати оновлення загрози з командно-контрольного сервера операції.