VileRAT’ın yeni bir çeşidi, sahte yazılım korsan web siteleri aracılığıyla Windows sistemlerine büyük ölçekte bulaşmak için dağıtılıyor.
Bu Python tabanlı VileRAT kötü amaçlı yazılım ailesinin, Ağustos 2023’ten beri aktif olan Evilnum tehdit grubu DeathStalker’a özel olduğuna inanılıyor.
Bellek içinde VileRAT’ı çalıştırmak ve diskteki yapaylıkları sınırlamak için tasarlanan VileLoader yükleyicisi tarafından yayıldığı sıklıkla gözlemlenmektedir.
Geleneksel uzaktan erişim araçlarına benzer şekilde çalışarak saldırganların tuş vuruşlarını kaydetmesine, komutları çalıştırmasına ve bilgileri uzaktan almasına olanak tanır. VileRAT genişletilebilir ve modüler olduğundan aktörler yeni özellikleri uygulamak için çerçeveyi kullanabilir.
Kamuya açık raporlara göre Evilnum, Orta Doğu, Birleşik Krallık, AB ve Amerika’daki hükümetlere, hukuk bürolarına, finansal kurumlara ve kripto para birimiyle ilgili kuruluşlara saldırma geçmişi olan, kiralık bir hacker hizmetidir.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Gelişmiş Yapay Zeka Destekli E-posta Koruması ile Trustifi Ücretsiz Tehdit Taramasını deneyin.
Ücretsiz Tehdit Taraması Çalıştırın
VileRAT’ın Yeni Çeşitleri
Stairwell’deki araştırmacılar, VileLoader’ı da taşıyan değiştirilmiş, meşru yükleyiciler aracılığıyla yeni etkinliklerin ve VileRAT varyantlarının yayıldığını gördü.
Kaspersky, geçmişte enfeksiyonun kötü amaçlı belgeler ve LNK dosyaları yoluyla ve ayrıca şirketlerin halka açık sohbet robotları kullanılarak dağıtıldığını bildirdi.
VileLoader’ı dağıtmak için kullanılan kötü amaçlı bir Nulloy medya oynatıcı yükleyicisine güveniyor. VileLoader, Nulloy yükleyicisinde paketlenir ve NSIS yükleme komut dosyası tarafından başlatılır.
VileLoader’ın (NvStTest.exe) bu kopyası, meşru bir NVIDIA 3D Vision Test Uygulamasının değiştirilmiş bir sürümüdür.
“VileRAT’ın çekirdek bileşeni, VileLoader’dan çıkarılan veri yükü içindeki sıkıştırılmış, Xored ve base64 kodlu bir arabellekte depolanıyor. Kodu çözülmüş çıktı, VileRAT’ın başlatıldığı zamanı, kontrol sunucularını ve C2 iletişimi için şifreleme anahtarını içeren, implant için bir JSON yapılandırması içeriyor” diye açıklıyor araştırmacılar.
Son sözler
Evilnum daha önce özel finansal verileri hedeflemek ve toplamak için ana yaklaşım olarak hedef odaklı kimlik avını kullanmıştı.
Şu an itibariyle araştırmacılar, bu VileRAT türünün genel olarak 1.000 ila 10.000 cihaza bulaştığını tahmin ediyor.
OnionDuke ve APT37 gibi yüksek vasıflı tehdit aktörleri, kapsamlı istismar kampanyaları yürütmek için yazılım korsanlığını kullanmış olsa da, Evilnum’un gözlemi, onların daha önce açıklanan stratejilerinden dikkate değer bir ayrılığa işaret ediyor.