Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Разработчик RAT-трояна выложил исходный код вируса на GitHub

06/09/22

RAT3-3

Исследователи SafeBreach Labs проанализировали новую кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа RAT, отслеживаемым SafeBreach Labs как CodeRAT.

Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub.

CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:

  • создание снимков экрана;
  • копирование буфера обмена;
  • завершение процессов;
  • анализ использования графического процессора;
  • загрузку, выгрузку и удаление файлов;
  • мониторинг запущенных процессов;
  • выполнение программ.

Также вредоносное ПО может отслеживать:

  • электронную почту;
  • документы Microsoft Office;
  • базы данных;
  • социальные сети;
  • игры;
  • интегрированные среды разработки (IDE) для Windows и Android;
  • порносайты.

CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых уникальны для иранских жертв – популярный иранский сайт электронной коммерции и веб-мессенджер на фарси.

Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством, передает Securitylab. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством

CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram.

Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами.

По словам ученых, их цель — повысить осведомленность об этом новом типе вредоносного ПО, использующего относительно новый метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки.

Темы:ПреступленияGitHubRATисходный код
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...