Phần mềm độc hại VileRAT

Phần mềm độc hại VileRAT là một mối đe dọa mạnh mẽ được tội phạm mạng sử dụng để nhắm mục tiêu vào các nhà môi giới trao đổi ngoại tệ và tiền điện tử. Các tổ chức bị nhắm mục tiêu hoặc bị xâm nhập đã được xác định trên nhiều vị trí địa lý, bao gồm Kuwait, UAE, Liên bang Nga, Đức, Bulgaria và hơn thế nữa.

Theo một báo cáo được công bố bởi các chuyên gia phần mềm độc hại, VileRAT đã được quy cho nhóm tội phạm mạng DeathStalker , một tổ chức được cho là cung cấp dịch vụ hack cho thuê. Chiến dịch VilerRAT thể hiện các khả năng được cải tiến của DeathStalker để tránh bị phát hiện thông qua việc sử dụng các phương pháp xáo trộn hiện đại, nhiều lớp, cũng như đóng gói lớp thấp, bộ tải PE trong bộ nhớ với thực thi nhiều giai đoạn và thậm chí các phương pháp bỏ qua theo kinh nghiệm được thiết kế để đánh lừa các giải pháp bảo mật cụ thể. Tuy nhiên, tải trọng cuối cùng của VileRAT vẫn có kích thước lớn 10MB.

Khi RAT (Trojan Truy cập Từ xa) đã được thực thi trên hệ thống bị xâm phạm, nó cho phép các tác nhân đe dọa thực hiện các lệnh tùy ý thông qua Command Prompt. Tin tặc cũng có thể tải xuống các tệp bổ sung hoặc tải trọng, thực thi các tệp đã chọn, thao tác hệ thống tệp, giết các quy trình, mở trang web và hơn thế nữa. VileRAT có thể thiết lập quy trình ghi nhật ký để lấy thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập tài khoản, chi tiết đăng nhập, dữ liệu thanh toán, v.v.

Để đảm bảo sự hiện diện liên tục của nó trên hệ thống bị nhiễm, VileRAT kích hoạt cơ chế duy trì bằng cách tạo các tác vụ đã lên lịch thông qua Windows Task Scheduler. Tin tặc DeathStalker có thể đẩy các bản cập nhật cho mối đe dọa từ máy chủ Command-and-Control của hoạt động.