PowerShell 老鼠
网络安全研究人员发现了一种新的 RAT(远程访问威胁),网络犯罪分子利用该 RAT 攻击德国的目标。该木马被追踪为 PowerShell RAT,并以乌克兰战争为诱饵,通过损坏的网站进行部署。
PowerShell RAT 配备了此类威胁预期的典型功能。一旦部署在目标系统上,它就会开始收集相关的设备数据。顾名思义,威胁的主要功能围绕着执行 PowerShell 脚本命令。此外,威胁参与者可以从被破坏的系统中窃取选定的文件或在其上部署额外的有效负载。这允许攻击者根据他们的目标在系统内扩展他们的能力。他们可以下载并执行额外的木马、勒索软件威胁、加密矿工等。
传播 PowerShell RAT 的诱饵网站旨在与德国巴登-符腾堡州网站非常相似。威胁参与者甚至使用了以前与官方网站相关联的域——collaboration-bw(dot)de。在虚假页面上,用户将看到有关乌克兰战争事件的准确信息。该网站将尝试说服其访问者下载名为“2022-Q2-Bedrohungslage-Ukraine.chm.txt”的文件。一旦打开,该文件将显示有关假定问题的虚假错误消息,而受感染的脚本将在后台静默执行。该脚本将启动 PowerShell RAT 的感染链。
