PowerShell 老鼠
網絡安全研究人員發現了一種新的 RAT(遠程訪問威脅),網絡犯罪分子利用該 RAT 攻擊德國的目標。該木馬被追踪為 PowerShell RAT,並以烏克蘭戰爭為誘餌,通過損壞的網站進行部署。
PowerShell RAT 配備了此類威脅預期的典型功能。一旦部署在目標系統上,它就會開始收集相關的設備數據。顧名思義,威脅的主要功能圍繞著執行 PowerShell 腳本命令。此外,威脅參與者可以從被破壞的系統中竊取選定的文件或在其上部署額外的有效負載。這允許攻擊者根據他們的目標在系統內擴展他們的能力。他們可以下載並執行額外的木馬、勒索軟件威脅、加密礦工等。
傳播 PowerShell RAT 的誘餌網站旨在與德國巴登-符騰堡州網站非常相似。威脅參與者甚至使用了以前與官方網站相關聯的域——collaboration-bw(dot)de。在虛假頁面上,用戶將看到有關烏克蘭戰爭事件的準確信息。該網站將嘗試說服其訪問者下載名為“2022-Q2-Bedrohungslage-Ukraine.chm.txt”的文件。一旦打開,該文件將顯示有關假定問題的虛假錯誤消息,而受感染的腳本將在後台靜默執行。該腳本將啟動 PowerShell RAT 的感染鏈。
