阿加

Aggah惡意軟件是Revenge RAT（遠程訪問木馬）的一種變體，已在中東的大規模攻擊中使用。計算機安全研究人員發現，一個先前未知的小組對原始的RevengeRAT源代碼進行了更改，並在攻擊中使用了別名" haggah"。威脅參與者使用垃圾郵件來分發其RAT，並且可能使用類似於公司內部消息的電子郵件。攻擊者似乎使用了與工作文檔的常用名稱相似的文件名，並誘使用戶下載啟用了宏的Microsoft Word文檔。

Aggah RAT（遠程訪問木馬）通過一系列腳本作為最終的有效負載提供。典型的Aggah攻擊涉及不少於9個步驟，並且還更改了與MS Office相關的註冊表值。向打開鏈接到Aggah RAT的dropper文件的用戶顯示警告，提示您可以從遠程主機加載內容。這是一個技巧，旨在從Blogspot平台的武器化頁面啟用宏並加載腳本。有害的Blogspot頁上包含JavaScript，這些JavaScript已下載到用戶的PC並以管理員權限執行。威脅參與者成功禁用了Windows上的本機AV工具並禁用了Microsoft Office套件中的功能。然後，dropper文件通過Windows PowerShell命令行工具的隱藏實例運行PowerShell命令。這些命令將Aggah RAT安裝到本地磁盤並註冊計劃的任務，以便在Windows啟動時加載惡意軟件。

Aggah RAT是一種通用的遠程訪問工具，可讓威脅參與者從您的PC上檢索文件。刪除磁盤上的文件；運行/終止程序；拉出您的Web瀏覽器書籤和保存的密碼；拍攝桌面截圖；訪問您的網絡攝像頭和麥克風。如果希望減少被Aggah RAT感染的風險，則應避免發送可疑的電子郵件，並每週進行安全掃描。下面列出了與Aggah惡意軟件鏈接的檢測警報：

惡意軟件@＃2bi0wb8fa6yje
其他：惡意軟件[Trj]
RDN /通用Downloader.x
RTF /漏洞利用
可疑/RTF.Obfus.Gen.1
Trojan.Ole2.Vbs-heuristic.druvzi
木馬TDLQ-1
木馬X97M.DLOADR.JHLB
病毒.office.qexvmc.1095
Xls.Malware.Sload-6889487-0