Исследователи SafeBreach Labs проанализировали
новую кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа
Средство удаленного администрирования (Remote Administration Tool, RAT) — инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
» data-html=»true» data-original-title=»RAT»>RAT, отслеживаемым SafeBreach Labs как CodeRAT.
Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub.
CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:
- создание снимков экрана;
- копирование буфера обмена;
- завершение процессов;
- анализ использования графического процессора;
- загрузку, выгрузку и удаление файлов;
- мониторинг запущенных процессов;
- выполнение программ.
Также вредоносное ПО может отслеживать:
- электронную почту;
- документы Microsoft Office;
- базы данных;
- социальные сети;
- игры;
- интегрированные среды разработки (IDE) для Windows и Android;
- порносайты.
CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых уникальны для иранских жертв – популярный иранский сайт электронной коммерции и веб-мессенджер на фарси.
Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством
CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram.
Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами.
По словам ученых, их цель — повысить осведомленность об этом новом типе вредоносного ПО, использующего относительно новый метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки.