Nova VileRAT varijanta

Nova VileRAT varijanta se distribuira preko lažnih softverskih piratskih internet lokacija kako bi se inficirao veći broj Windows sistema.

VileRAT

Nova VileRAT varijanta; Source: Bing Image Creator

VILERAT

Sigurnosni istraživači su identifikovali novu varijantu VileRAT zlonamjernog softvera koja je u upotrebi najmanje od avgusta 2023. godine. Na osnovu javnih izvještaja i uočenih naziva datoteka, sigurnosni istraživači vjeruju da se ova varijanta distribuira preko lažnih stranica za pirateriju softvera kako bi se inficirao veći broj sistema.

VileRAT porodica zlonamjernog softvera je zasnovana na Python programskom jeziku, a vjeruje se da je ovaj zlonamjerni softver jedinstven za zlonamjernog aktera Evilnum (takođe poznatog kao DeathStalker). Ovaj zlonamjerni softver se dosljedno primjenjuje pomoću pratećeg programa za učitavanje pod nazivom VileLoader, koji se koristi za pokretanje VileRAT zlonamjernog softvera u memoriji, ograničavajući artefakte na disku – preostale informacije koje ostaju na medijima čak i nakon brisanja.

Funkcionalnost VileRAT zlonamjernog softvera je u skladu sa tradicionalnim alatkama za daljinski pristup, pružajući napadačima mogućnost da daljinski snimaju pritiske na tastere, izvršavaju komande i prikupljaju informacije. VileRAT je modularan i proširiv, omogućavajući zlonamjernim akterima da primjene dodatne funkcionalnosti.

 

EVILNUM

Javno dostupne informacije pokazuju da zlonamjerni akter pod nazivom Evilnum pruža usluge hakera za iznajmljivanje sa istorijom napada na vlade, pravne kancelarije, finansijske institucije i organizacije povezane sa kriptovalutama na Bliskom istoku, u Velikoj Britaniji, EU i Americi. Sigurnosni istraživači iz kompanije Kaspersky su povezali ovog zlonmajenrog aktera sa kampanjama Powersing, Janicab i PowerPepper, sa tim da je prva kampanja Powersing otkrivena 2018. godine.

Evilnum taktike, tehnike i procedure su u prošlosti uključivale slanje elektronskih poruka dizajniranih da isporuče zlonamjerne LNK priloge, Word dokumente i veze do izvršnih datoteka, kao i korištenje javnih čet-bota kompanija. Poznato je da ovaj zlonamjerni akter izbjegava direktnu finansijsku dobit i da se umjesto toga fokusira na prikupljanje osjetljivih poslovnih informacija (investicije i informacije o trgovanju, softverske licence i akreditivi platforme, kreditne kartice, dokaz o identitetu, VPN konfiguracija i još mnogo toga) kako bi potencijalno funkcionisale kao “informacioni broker” na finansijskim forumima.

 

NOVA VILERAT VARIJANTA

Analiza nove VileRAT varijante pokazuje da je zasnovana na paketu za instalaciju Nulloy media player koji se koristi za primjenu VileLoader programa za učitavanje. Ovaj programa za učitavanje je upakovan u Nulloy instalacijski paket i pokrenut sa NSIS instalacionom skriptom kada se instalacija pokrene.

Uzorak VileLoader programa za učitavanje je modifikovana verzija legitimne NVIDIA 3D Vision test aplikacije, koja kad se izvrši provjerava proslijeđen argument komandne linije pre dinamičkog rješavanja uvoza koji se odnosi na učitavanje datoteke i izvršavanje procesa, što je u skladu sa VileLoader uzorcima koji potiču iz 2020. godine.

Korisni teret VileRAT se nalazi u drugoj datoteci koju upisuje NDIS alat za instalaciju, gdje su korisni teret i naziv datoteke zaštićeni XOR metodom kodiranja. Osnovna komponenta VileRAT zlonamjernog softvera je uskladištena u kompresovanom, Xored i base64 kodiranoj pomoćnoj memoriji, unutar korisnog tereta raspakovanog iz VileLoader programa za učitavanje. Unutar dekodiranog izlaza nalazi se JSON konfiguracija za implant, koja sadrži vreme kada je VileRAT pokrenut, kontrolne servere i ključ za šifrovanje za C2 komunikaciju.

 

ZAKLJUČAK

Prethodne aktivnosti zlonamjernog aktera Evilnum su navodno podrazumijevale korištenje spear phishing napada kao primarnog metoda za dobijanje pristupa ciljevima i fokusirale se na prikupljanje osjetljivih finansijskih informacija.

Na osnovu detekcije zlonamjernog softvera u instalacionim paketima, izvještaja o piratskom igrama koje otvaraju Nulloy i informacija proizvođača sigurnosnog softvera, sigurnosni istraživači procjenjuju da je ukupan broj sistema zaraženih ovom varijantom VileRAT zlonamjernog softvera između 1.000 i 10.000.

Uprkos povećanom riziku od izloženosti, ekosistem piraterije je veoma privremen; stranice za dijeljenje datoteka se redovno gase zbog kršenja autorskih prava ili uklanjaju iz rezultata pretraživača. To je pejzaž koji se redovno mijenja i predstavlja izazov za praćenje aktivnosti zlonamjernih aktera. To je uočio i Evilnum zlonamjerni akter i došlo je do primjetnog pomaka u taktici u odnosu na njihovu javno dokumentovanu istoriju.

 

ZAŠTITA

Da bi ublažili rizike povezane sa infekcijama VileRAT zlonamjernog softvera, korisnici treba da daju prioritet sljedećim mjerama sajber bezbjednosti:

  • Ažuriranje svih uređaja i softvera je ključno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvođači često objavljuju bezbjednosna ažuriranja i ispravke kako bi riješili probleme poznatih ranjivosti. Blagovremenom primjenom ovih ažuriranja, korisnici mogu da zatvore potencijalne ulazne tačke,
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti,
  • Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
  • Edukacija korisnika o phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim elektronskoj pošti, kao i obuka za prepoznavanje taktika socijalnog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka,
  • Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,
  • Biti oprezan prilikom pretraživanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadrže zlonamjerni softver koji može zaraziti uređaj prilikom otvaranja takvih stranica.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.