PowerShell RAT

Các nhà nghiên cứu an ninh mạng đã xác định được một RAT (Mối đe dọa truy cập từ xa) mới mà tội phạm mạng đã tận dụng để chống lại các mục tiêu ở Đức. Trojan đang được theo dõi với tên gọi PowerShell RAT và nó đang được triển khai thông qua các trang web bị lỗi sử dụng cuộc chiến ở Ukraine làm mồi nhử.

PowerShell RAT được trang bị chức năng điển hình được mong đợi đối với các mối đe dọa thuộc loại này. Sau khi được triển khai trên các hệ thống được nhắm mục tiêu, nó bắt đầu thu thập dữ liệu thiết bị có liên quan. Như tên gọi của nó, các chức năng chính của mối đe dọa xoay quanh việc thực thi các lệnh tập lệnh PowerShell. Ngoài ra, các tác nhân đe dọa có thể tách các tệp đã chọn khỏi hệ thống bị vi phạm hoặc triển khai các tải trọng bổ sung trên đó. Điều này cho phép những kẻ tấn công mở rộng khả năng của chúng trong hệ thống, tùy thuộc vào mục tiêu của chúng. Họ có thể tải xuống và thực thi các Trojan bổ sung, các mối đe dọa ransomware, các công cụ khai thác tiền điện tử, v.v.

Trang web thu hút lan truyền PowerShell RAT được thiết kế gần giống với trang web của bang Baden-Württemberg Đức. Các tác nhân đe dọa thậm chí còn sử dụng tên miền - collab-bw (dot) de, trước đây đã được liên kết với trang web chính thức. Trên trang giả mạo, người dùng sẽ được cung cấp thông tin chính xác về các sự kiện liên quan đến cuộc chiến ở Ukraine. Trang web sẽ cố gắng thuyết phục khách truy cập tải xuống tệp có tên '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Sau khi được mở, tệp sẽ hiển thị thông báo lỗi giả mạo về một vấn đề được cho là, trong khi một tập lệnh bị xâm phạm sẽ được thực thi trong nền âm thầm. Tập lệnh sẽ bắt đầu chuỗi lây nhiễm của PowerShell RAT.