{"id":6018,"date":"2024-02-04T00:13:49","date_gmt":"2024-02-03T23:13:49","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6018"},"modified":"2024-02-04T00:13:49","modified_gmt":"2024-02-03T23:13:49","slug":"nova-vilerat-varijanta","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/04\/nova-vilerat-varijanta\/","title":{"rendered":"Nova VileRAT varijanta"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/cybersecuritynews.com\/vilerat-attacking-windows-machines\/\" target=\"_blank\" rel=\"noopener\">Nova <em>VileRAT<\/em> varijanta<\/a> se distribuira preko la\u017enih softverskih piratskih internet lokacija kako bi se inficirao ve\u0107i broj <em>Windows<\/em> sistema.<\/span><\/p>\n<div id=\"attachment_6021\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6021\" class=\"size-full wp-image-6021\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware.jpg\" alt=\"VileRAT \" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/new-VileRAT-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6021\" class=\"wp-caption-text\"><em>Nova VileRAT varijanta; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/04\/nova-vilerat-varijanta\/#VILERAT\">VILERAT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/04\/nova-vilerat-varijanta\/#EVILNUM\">EVILNUM<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/04\/nova-vilerat-varijanta\/#NOVA_VILERAT_VARIJANTA\">NOVA VILERAT VARIJANTA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/04\/nova-vilerat-varijanta\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/04\/nova-vilerat-varijanta\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"VILERAT\"><\/span><span style=\"font-size: 14pt;\"><strong><em>VILERAT<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su identifikovali novu varijantu <em>VileRAT<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> koja je u upotrebi najmanje od avgusta 2023. godine. Na osnovu javnih izvje\u0161taja i uo\u010denih naziva datoteka, sigurnosni istra\u017eiva\u010di vjeruju da se ova varijanta distribuira preko la\u017enih stranica za pirateriju softvera kako bi se inficirao ve\u0107i broj sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>VileRAT<\/em> porodica zlonamjernog softvera je zasnovana na <em>Python<\/em> programskom jeziku, a vjeruje se da je ovaj zlonamjerni softver jedinstven za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog aktera<\/a> <em>Evilnum<\/em> (tako\u0111e poznatog kao <em>DeathStalker<\/em>). Ovaj zlonamjerni softver se dosljedno primjenjuje pomo\u0107u pratec\u0301eg programa za u\u010ditavanje pod nazivom <em>VileLoader<\/em>, koji se koristi za pokretanje <em>VileRAT<\/em> zlonamjernog softvera u memoriji, ograni\u010davaju\u0107i artefakte na disku \u2013 preostale informacije koje ostaju na medijima \u010dak i nakon brisanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Funkcionalnost <em>VileRAT<\/em> zlonamjernog softvera je u skladu sa tradicionalnim alatkama za daljinski pristup, pru\u017eaju\u0107i napada\u010dima mogu\u0107nost da daljinski <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">snimaju pritiske na tastere<\/a>, izvr\u0161avaju komande i prikupljaju informacije. <em>VileRAT<\/em> je modularan i pro\u0161iriv, omogu\u0107avaju\u0107i zlonamjernim akterima da primjene dodatne funkcionalnosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"EVILNUM\"><\/span><span style=\"font-size: 14pt;\"><strong><em>EVILNUM<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Javno dostupne informacije pokazuju da zlonamjerni akter pod nazivom <em>Evilnum<\/em> pru\u017ea <a href=\"https:\/\/sajberinfo.com\/en\/2022\/12\/04\/hakeri-placenici-epizoda-10\/\" target=\"_blank\" rel=\"nofollow noopener\">usluge hakera za iznajmljivanje<\/a> sa istorijom napada na vlade, pravne kancelarije, finansijske institucije i organizacije povezane sa kriptovalutama na Bliskom istoku, u Velikoj Britaniji, EU i Americi. Sigurnosni istra\u017eiva\u010di iz kompanije <em>Kaspersky<\/em> su povezali ovog zlonmajenrog aktera sa kampanjama <em>Powersing<\/em>, <em>Janicab<\/em> i <em>PowerPepper<\/em>, sa tim da je prva kampanja <em>Powersing<\/em> otkrivena 2018. godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Evilnum <\/em>taktike, tehnike i procedure su u pro\u0161losti uklju\u010divale slanje elektronskih poruka dizajniranih da isporu\u010de zlonamjerne <em>LNK<\/em> priloge, <em>Word<\/em> dokumente i veze do izvr\u0161nih datoteka, kao i kori\u0161tenje javnih \u010det-bota kompanija. Poznato je da ovaj zlonamjerni akter izbjegava direktnu finansijsku dobit i da se umjesto toga fokusira na prikupljanje osjetljivih poslovnih informacija (investicije i informacije o trgovanju, softverske licence i akreditivi platforme, kreditne kartice, dokaz o identitetu, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>VPN<\/em><\/a> konfiguracija i jo\u0161 mnogo toga) kako bi potencijalno funkcionisale kao \u201c<em>informacioni broker<\/em>\u201d na finansijskim forumima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"NOVA_VILERAT_VARIJANTA\"><\/span><span style=\"font-size: 14pt;\"><strong>NOVA <em>VILERAT<\/em> VARIJANTA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Analiza nove <em>VileRAT<\/em> varijante pokazuje da je zasnovana na paketu za instalaciju <em>Nulloy<\/em> <em>media<\/em> <em>player<\/em> koji se koristi za primjenu <em>VileLoader <\/em>programa za u\u010ditavanje. Ovaj programa za u\u010ditavanje je upakovan u <em>Nulloy<\/em> instalacijski paket i pokrenut sa <em>NSIS<\/em> instalacionom skriptom kada se instalacija pokrene.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uzorak <em>VileLoader <\/em>programa za u\u010ditavanje je modifikovana verzija legitimne <em>NVIDIA 3D Vision<\/em> test aplikacije, koja kad se izvr\u0161i provjerava proslije\u0111en argument komandne linije pre dinami\u010dkog rje\u0161avanja uvoza koji se odnosi na u\u010ditavanje datoteke i izvr\u0161avanje procesa, \u0161to je u skladu sa <a href=\"https:\/\/securelist.com\/vilerat-deathstalkers-continuous-strike\/107075\/\" target=\"_blank\" rel=\"noopener\"><em>VileLoader<\/em> uzorcima koji poti\u010du iz 2020. godine<\/a>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">Korisni teret<\/a> <em>VileRAT<\/em> se nalazi u drugoj datoteci koju upisuje <em>NDIS<\/em> alat za instalaciju, gdje su korisni teret i naziv datoteke za\u0161ti\u0107eni <em>XOR<\/em> metodom kodiranja. Osnovna komponenta <em>VileRAT <\/em>zlonamjernog softvera je uskladi\u0161tena u kompresovanom, <em>Xored<\/em> i base64 kodiranoj pomo\u0107noj memoriji, unutar korisnog tereta raspakovanog iz <em>VileLoader <\/em>programa za u\u010ditavanje. Unutar dekodiranog izlaza nalazi se <em>JSON<\/em> konfiguracija za implant, koja sadr\u017ei vreme kada je <em>VileRAT<\/em> pokrenut, kontrolne servere i klju\u010d za \u0161ifrovanje za <em>C2<\/em> komunikaciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Prethodne aktivnosti zlonamjernog aktera <em>Evilnum<\/em> su navodno podrazumijevale kori\u0161tenje <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/spear-phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>spear phishing<\/em><\/a> napada kao primarnog metoda za dobijanje pristupa ciljevima i fokusirale se na prikupljanje osjetljivih finansijskih informacija.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na osnovu detekcije zlonamjernog softvera u instalacionim paketima, izvje\u0161taja o piratskom igrama koje otvaraju <em>Nulloy<\/em> i informacija proizvo\u0111a\u010da sigurnosnog softvera, sigurnosni istra\u017eiva\u010di procjenjuju da je ukupan broj sistema zara\u017eenih ovom varijantom <em>VileRAT<\/em> zlonamjernog softvera izme\u0111u 1.000 i 10.000.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uprkos pove\u0107anom riziku od izlo\u017eenosti, ekosistem piraterije je veoma privremen; stranice za dijeljenje datoteka se redovno gase zbog kr\u0161enja autorskih prava ili uklanjaju iz rezultata pretra\u017eiva\u010da. To je pejza\u017e koji se redovno mijenja i predstavlja izazov za prac\u0301enje aktivnosti zlonamjernih aktera. To je uo\u010dio i <em>Evilnum <\/em>zlonamjerni akter i do\u0161lo je do primjetnog pomaka u taktici u odnosu na njihovu javno dokumentovanu istoriju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi ubla\u017eili rizike povezane sa infekcijama <em>VileRAT <\/em>zlonamjernog softvera, korisnici treba da daju prioritet sljede\u0107im mjerama sajber bezbjednosti:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">A\u017euriranje svih ure\u0111aja i softvera je klju\u010dno za smanjenje rizika od infekcije zlonamjernim softverom. Proizvo\u0111a\u010di \u010desto objavljuju bezbjednosna a\u017euriranja i ispravke kako bi rije\u0161ili probleme poznatih ranjivosti. Blagovremenom primjenom ovih a\u017euriranja, korisnici mogu da zatvore potencijalne ulazne ta\u010dke,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti provjerena <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosna rije\u0161enja<\/a> opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i sprije\u010dile zlonamjerne aktivnosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezna sa dolaznom elektronskom po\u0161tom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatno\u0107e da \u0107e pokrenuti proces infekcije ure\u0111aja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Edukacija korisnika o <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>prijetnjama, nagla\u0161avaju\u0107i rizike povezane sa otvaranjem priloga ili klikom na linkove u ne\u017eeljenim elektronskoj po\u0161ti, kao i obuka za prepoznavanje taktika socijalnog in\u017eenjeringa koje koriste zlonamjerni akteri, omogu\u0107ava korisnicima da izbjegnu da postanu \u017ertve obmanjujuc\u0301ih trikova koji vode ka izvr\u0161avanju zlonamjernih datoteka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izbjegavati preuzimanje i instaliranje softvera iz nepouzdanih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom pretra\u017eivanja interneta i izbjegavati posjete sumnjivim internet lokacijama. Neke internet lokacije mogu da sadr\u017ee zlonamjerni softver koji mo\u017ee zaraziti ure\u0111aj prilikom otvaranja takvih stranica.<\/span><\/li>\n<\/ul>","protected":false},"excerpt":{"rendered":"<p>Nova VileRAT varijanta se distribuira preko la\u017enih softverskih piratskih internet lokacija kako bi se inficirao ve\u0107i broj Windows sistema. VILERAT Sigurnosni istra\u017eiva\u010di su identifikovali novu varijantu VileRAT zlonamjernog softvera koja je u upotrebi najmanje&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6021,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[728,726,191,282,727,725,143],"class_list":["post-6018","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-deathstalker","tag-evilnum","tag-python","tag-remote-access-trojan","tag-vileloader","tag-vilerat","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6018","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6018"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6018\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6021"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6018"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6018"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6018"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}