×

Разработчик RAT-трояна выложил исходный код вируса на GitHub

Разработчик RAT-трояна выложил исходный код вируса на GitHub

Троян оказался шпионским ПО, используемое Ираном для слежки за гражданами.

Исследователи SafeBreach Labs проанализировали новую кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа

Средство удаленного администрирования (Remote Administration Tool, RAT) - инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.

" data-html="true" data-original-title="RAT">RAT, отслеживаемым SafeBreach Labs как CodeRAT.

Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub.


CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:

Также вредоносное ПО может отслеживать:

CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых уникальны для иранских жертв – популярный иранский сайт электронной коммерции и веб-мессенджер на фарси.

Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством

CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram.

Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами.

По словам ученых, их цель — повысить осведомленность об этом новом типе вредоносного ПО, использующего относительно новый метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.