RevengeRAT

O RevengeRAT faz parte de uma campanha de malware ameaçadora que visa usuários de computadores localizados na Europa, Ásia, Oriente Médio e América do Norte. O RevengeRAT está sendo distribuído através de uma variedade de páginas da Web hospedadas em plataformas públicas como Blogspot e Pastebin, também usando essas páginas como parte da infraestrutura de Comando e Controle do RevengeRAT usada para realizar ataques do RevengeRAT. Os relatórios da mais recente campanha do RevengeRAT começaram a aparecer em março de 2019, embora o Trojan RevengeRAT exista desde 2016. Essa atual campanha de malware associada ao RevengeRAT ficou conhecida como 'Aggah' e parece ter como alvo grandes empresas e redes governamentais.

Como o Trojan RevengeRAT Ataca um Computador

O Trojan RevengeRAT está disponível para todos desde 2016, lançado em fóruns de hackers. Depois que o RevengeRAT é instalado, o RevengeRAT permite que o invasor controle o computador infectado de longe. Com o RevengeRAT, os criminosos podem obter acesso a arquivos em um dispositivo de computador, executando processos e serviços de memória, espionando as atividades da vítima e fazendo alterações no dispositivo afetado. O RevengeRAT também permite que criminosos obtenham acesso a periféricos conectados ao computador infectado, por exemplo, permitindo rastrear pressionamentos de teclas no teclado do computador infectado ou obtendo acesso à câmera ou microfone para monitorar os arredores do computador infectado.

Como o RevengeRAT está Sendo Distribuído na Campanha do Aggah

O RevengeRAT foi distribuído de várias maneiras desde a sua criação, incluindo métodos conhecidos de entrega de malware, como o uso de anexos de email de spam ou anúncios online corrompidos e sites corrompidos. A principal maneira pela qual o RevengeRAT é entregue na campanha Aggah é através de documentos corrompidos que usam macros incorporadas para baixar e instalar o RevengeRAT no computador da vítima. As macros incorporadas associadas a esta campanha usam postagens no Blogspot para obter um script que usa o conteúdo Pastebin para fazer download de conteúdo adicional até que finalmente o RevengeRAT seja instalado e conectado ao servidor de Comando e Controle. O arquivo de engodo inicial que inicia o ataque do RevengeRAT pode ser disfarçado de várias maneiras e pode mudar dependendo da vítima. Uma amostra observada em 27 de março de 2019 foi entregue em uma mensagem de e-mail falsa de um banco com o assunto 'Sua conta está bloqueada', induzindo a vítima a abrir o arquivo em anexo, pensando que é um documento oficial de um banco.

Como o RevengeRAT Infecta um Dispositivo

Quando a vítima abre o arquivo de isca, ele exibe uma imagem para induzi-la a ativar as macros do Microsoft Office. Permitir que isso aconteça permite que o RevengeRAT seja instalado no computador da vítima por meio de um processo com várias etapas envolvendo vários URLs diferentes. Assim que o RevengeRAT for instalado, esse Trojan desativará o Microsoft Defender e tentará desativar outro conteúdo de segurança no computador da vítima. A variante RevengeRAT instalada nesses ataques recentes é apelidada de 'Explosão Nuclear' e parece realizar um típico ataque RAT de backdoor. Um link associado à distribuição do RevengeRAT foi clicado quase duas mil vezes com metas em mais de vinte países diferentes. Isso sugere que é muito provável que os ataques do RevengeRAT tenham sido bem-sucedidos em atingir particularmente a vítima em potencial.

Protegendo os Seus Dados contra o RevengeRAT

A melhor proteção contra RATs como o Trojan RevengeRAT é ter um produto de segurança totalmente atualizado instalado no seu computador. Além de ter um programa anti-malware confiável, os pesquisadores de malware também aconselham os usuários a certificar-se de que outros dispositivos de segurança estejam ativados, como um firewall confiável e um filtro anti-spam. Pesquisadores de segurança de PC aconselham desativar macros no Microsoft Office e evitar o download de arquivos suspeitos, principalmente anexos de email não solicitados.