Phishing-e-post med pdf-vedlegg distribueres målrettet mot luftfarts- og reisesektoren. Hvis mottagerne åpner vedlegget laster det ned RevengeRAT eller AsyncRAT, en skadelig visual basic-fil. Sikkerhetsfirmaet Morphisec sier at det også laster ned RAT-agenten Tesla.
Passord, webkamera- og nettleserdata stjeles
Kampanjen bruker e-postmeldinger som tilsynelatende er sendt fra legitime organisasjoner. De har innhold som er relevant for luftfart, reise og transport. En pdf-fil laster ned et ondsinnet VB-script med RAT-innhold.
Microsoft
Sikkerhetsfirmaet Morphisec har kalt denne kryptortjenesten “Snip3” etter et brukernavn de fant i tidligere varianter programvaren. En kryptor er et verktøy designet for å tilsløre skadelig kode i tilsynelatende harmløs kode.
Kjør sandkasse!
Snip3 er konfigurert til ikke å laste inn en RAT hvis den oppdager at den blir kjørt i Windows Sandbox – en sikkerhetsfunksjon for virtuell maskin som Microsoft introduserte i 2018. Den tillater avanserte brukere å kjøre potensielt ondsinnede filer i en “sandkasse” som ikke påvirker operativsystemet.
Hvis skriptet identifiserer et virtuelt maskinmiljø à la Sandbox avslutter det seg selv uten å laste ned RAT. Men så snart en RAT er installert kobler den seg opp og laster ned mer skadelig programvare.
Annonse
RAT-ene er kjent for å stjele legitimasjon, skjermbilder og webkamadata, nettleser- og utklippstavledata, system- og nettverksdata og exfiltrerer data ofte via SMTP-port 587.
Tidligere assosiert med nordkoreanske hackere
DetectSandboxie brukes i RevengeRAT- og AsyncRAT. Metoden har også tidligere vært assosiert med annen skadelig programvare som WannaCry og QuasarRAT. WannaCry ransomware spredte seg over hele verden i 2017 og ble godskrevet nordkoreanske hackere. QuasarRAT ble i 2018 brukt for å stjele data – inkludert påloggingsinformasjon og lydopptak av omgivelsene fra den ukrainske regjeringen.
Kilde: Morphisec
Annonse
