تروجان RevengeRAT پس از اجرا بلافاصله با سرور C&C ارتباط برقرار میکند و اطلاعات سیستم قربانی را برای سرور ارسال میکند.
منبع : مرکز مدیریت راهبردی افتا
تروجان RevengeRAT پس از اجرا بلافاصله با سرور C&C ارتباط برقرار میکند و اطلاعات سیستم قربانی را برای سرور ارسال میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Cybaze-Yoroi ZLab یک جاسوسافزار را مورد بررسی قرار دادند که برای هدف قرار دادن شرکتهای حوزه صنعت خودروسازی در اروپا طراحی شده است.
این بدافزار از طریق ایمیلهای فیشینگ و جعل هویت افراد شناختهشده منتشر میشود. در ایمیلهای مخرب از اسناد PowerPoint با پسوند ppa. استفاده شدهاست که دارای ویژگی باز شدن کد ماکرو VBA بصورت خودکار هستند.
کد ماکرو موجود در فایل ppa، منجر به دانلود و اجرای دراپر مرحله بعد حمله میشود که از آدرس hxxps://minhacasaminhavidacdt.blogspot[.com/ دریافت میشود. در کد این صفحه یک اسکریپت Visual Basic مخفی شدهاست که اقدامات مخرب متعددی را انجاممیدهد.
کدهای مخفیشده در صفحه وب به منظور نصب ویرایشی از تروجان RevengeRAT درون یک کلید رجیستری و اجرای فایل outlook.exe طراحی شدهاست. فایل outlook.exe از فایل Document.exe که از آدرس hxxp://cdtmaster.com[.]br/Document.mp3 دریافت شدهاست، استخراج میشود.
تروجان RevengeRAT پس از اجرا بلافاصله با سرور C&C ارتباط برقرار میکند و اطلاعات سیستم قربانی را برای سرور ارسال میکند. در نمونههای بررسیشده دو آدرس مختلف برای سرورهای C&C مشاهده شدهاست: office365update[.]duckdns.org و systen32.ddns[.]net.
فایل Document.exe در آدرس cdtmaster.com[.]br میزبانی میشود و توسط اسکریپت Z3j.vbs به سیستم قربانی منتقل میشود. این فایل برای انتقال و اجرای بدنه Outlook.exe طراحی شده است.
تروجان RevengeRAT در گذشته توسط گروههای APT ازجمله The Gorgon Group استفاده میشد. با این حال، بهدلیل اینکه کد منبع این تروجان در سالهای گذشته افشا شدهاست، گروههای دیگر نیز از آن استفاده میکنند.