RevengeRAT
RevengeRAT fa parte di una minacciosa campagna di malware che prende di mira gli utenti di computer che si trovano in Europa, Asia, Medio Oriente e Nord America. RevengeRAT viene distribuito attraverso una varietà di pagine Web ospitate su piattaforme pubbliche come Blogspot e Pastebin, utilizzando anche queste pagine come parte dell'infrastruttura di comando e controllo di RevengeRAT utilizzata per eseguire attacchi RevengeRAT. I rapporti dell'ultima campagna RevengeRAT hanno iniziato ad apparire nel marzo 2019, anche se il Trojan RevengeRAT è in circolazione dal 2016. L'attuale campagna malware associata a RevengeRAT è diventata nota come "Aggah" e sembra prendere di mira grandi aziende e reti governative.
Sommario
Come il Trojan RevengeRAT attacca un computer
Il Trojan RevengeRAT è disponibile per tutti dal 2016, rilasciato sui forum di hacking. Una volta installato RevengeRAT, RevengeRAT consente all'autore dell'attacco di controllare da lontano il computer infetto. Con RevengeRAT, i criminali possono accedere ai file su un dispositivo del computer, eseguire processi e servizi di memoria, spiare le attività della vittima e apportare modifiche al dispositivo interessato. RevengeRAT consente inoltre ai criminali di accedere alle periferiche collegate al computer infetto, ad esempio consentendo loro di tenere traccia dei tasti premuti sulla tastiera del computer infetto o di accedere alla videocamera o al microfono per monitorare l'ambiente circostante il computer infetto.
Come viene distribuito RevengeRAT nella campagna Aggah
RevengeRAT è stato distribuito in una grande varietà di modi sin dalla sua prima creazione, che includono metodi di consegna di malware tipici ben noti, come l'uso di allegati di posta indesiderata o pubblicità online danneggiate e siti Web danneggiati. Il modo principale in cui RevengeRAT viene consegnato nella campagna Aggah è attraverso documenti danneggiati che utilizzano macro incorporate per scaricare e installare RevengeRAT sul computer della vittima. Le macro incorporate associate a questa campagna utilizzano i post su Blogspot per ottenere uno script che utilizza il contenuto Pastebin per scaricare contenuti aggiuntivi fino a quando RevengeRAT non viene installato e connesso al suo server di comando e controllo. Il file esca iniziale, che inizia l'attacco RevengeRAT, può essere camuffato in vari modi e può cambiare a seconda della vittima. Un campione osservato il 27 marzo 2019 è stato consegnato in un falso messaggio di posta elettronica da una banca con oggetto `` Il tuo account è bloccato '', inducendo la vittima ad aprire il file allegato pensando che si tratti di un documento ufficiale di una banca.
Come RevengeRAT infetta un dispositivo
Quando la vittima apre il file esca, visualizza un'immagine per indurre la vittima ad abilitare le macro di Microsoft Office. Consentendo che ciò accada, RevengeRAT può essere installato sul computer della vittima tramite un processo con più passaggi che coinvolgono vari URL diversi. Non appena RevengeRAT viene installato, questo Trojan disabiliterà Microsoft Defender e proverà a disabilitare altri contenuti di sicurezza sul computer della vittima. La variante RevengeRAT installata in questi recenti attacchi è soprannominata "Nuclear Explosion" e sembra eseguire un tipico attacco RAT backdoor. Un collegamento associato alla distribuzione RevengeRAT è stato cliccato quasi duemila volte con obiettivi in più di venti paesi diversi. Ciò suggerisce che è molto probabile che gli attacchi RevengeRAT abbiano avuto successo nel raggiungere in particolare la potenziale vittima.
Protezione dei dati da RevengeRAT
La migliore protezione contro i RAT come il Trojan RevengeRAT consiste nell'avere un prodotto di sicurezza completamente aggiornato installato sul tuo computer. Oltre ad avere un programma anti-malware affidabile, i ricercatori di malware consigliano anche agli utenti di computer di assicurarsi che altri dispositivi di sicurezza sul proprio computer siano abilitati, come un firewall affidabile e un filtro anti-spam. I ricercatori di sicurezza per PC consigliano di disabilitare le macro in Microsoft Office ed evitare di scaricare file sospetti, in particolare allegati di posta elettronica non richiesti.
Rapporto di analisi
Informazione Generale
| Family Name: | Trojan.Revenge-RAT |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
f7f95cde7776936c0cc90253a77a330b
SHA1:
53b9c14cea890878ecd6a50de587fbff5c5d2dcd
SHA256:
61772167A95F7D7EB84337C06144CBBA21B88B0ACE8EF24D59426C7A50E6ACC6
Dimensione del file:
16.90 KB, 16896 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have resources
- File doesn't have security information
- File is .NET application
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is not packed
Show More
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- .NET
- NewLateBinding
- No Version Info
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 28 |
|---|---|
| Potentially Malicious Blocks: | 3 |
| Whitelisted Blocks: | 7 |
| Unknown Blocks: | 18 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
Show More
|
| User Data Access |
|
| Anti Debug |
|
| Other Suspicious |
|
| Encryption Used |
|
| Network Winsock2 |
|
| Network Winsock |
|
