Сторонники Украины в Германии подверглись атаке вредоносной программы PowerShell RAT

Неизвестный злоумышленник атаковал немецких пользователей, заинтересованных в украинском кризисе, заражая их трояном удаленного доступа PowerShell RAT и крадя их данные.

Вредоносная кампания использует сайт-приманку для заманивания пользователя на фальшивую новостную статью с неизданной информацией о ситуации на Украине. Сайт содержит вредоносный документ, устанавливающий RAT с возможностью удаленного выполнения команд и файловых операций. Кампания была раскрыта аналитиками угроз Malwarebytes, предоставившие все детали и признаки компрометации в своем отчете.

Киберпреступник зарегистрировал домен для фишингового сайта collaboration-bw [.] de после истечения срока настоящего домена и клонировал внешний вид реального сайта.

Посетитель сайта может найти вредоносный файл для скачивания под названием «2022-Q2-Bedrohungslage-Ukraine» с информацией о ситуации на Украине.

Согласно тексту, документ постоянно обновляется новой информацией, и пользователю настоятельно рекомендуется скачивать свежую копию каждый день. Загруженный ZIP-архив содержит CHM-файл, состоящий из нескольких скомпилированных HTML-файлов. При открытии файла выдается поддельное сообщение об ошибке.

В это время в фоновом режиме файл запускает PowerShell и Base64 деобфускатор, который приводит к извлечению и выполнению вредоносного кода с поддельного сайта.

В итоге скрипт загружает на компьютер жертвы два файла: RAT в виде .txt файла и .cmd файл, который помогает выполнить вредоносный код через PowerShell.

PowerShell RAT скрывается в Status.txt и начинает свою вредоносную операцию со сбора базовой системной информации и присвоения уникального идентификатора клиента. Затем украденная информация эксфильтрируется в немецкий домен kleinm [.] de. Для обхода Windows AMSI (Anti-malware Scan Interface) RAT использует зашифрованную AES функцию bypass, которая расшифруется на лету с помощью сгенерированного ключа.

Основные возможности RAT заключаются в следующем:

• Загрузка файлов с C2 сервера (Command and Control, C&C);
• Загрузка файлов на C2 сервер;
• Загрузка и выполнение скрипта PowerShell;
• Выполнение определенных команд;

Malwarebytes не приводит конкретных примеров использования RAT на практике, поэтому цели кампании остаются неизвестными.

«Сложно приписать злонамеренную деятельность конкретному субъекту. Основываясь только на мотивации, мы предполагаем, что российский злоумышленник может быть нацелен на немецких пользователей, но без четких связей в инфраструктуре или сходства с известными TTP», - объясняет Malwarebytes в отчете.

Пользователю нужно быть осторожным с загрузкой файлов из Интернета, поскольку даже известные и ранее доверенные веб-сайты, возможно, тихо перешли из рук в руки. Когда дело доходит до новостных сайтов, предложение скачать материал в формате документа можно рассматривать как потенциальную угрозу.