FortiGuard Labs è a conoscenza di un rapporto secondo cui il malware RuRAT è stato distribuito nel recente attacco di spear-phishing contro le organizzazioni dei media negli Stati Uniti. Sebbene la tattica utilizzata in questo attacco non sia sofisticata, il malware RuRAT installato fornisce all’attaccante un punto d’appoggio nella rete della vittima dove verranno raccolte informazioni riservate per ulteriori attività. Perché è importante? Ciò è significativo perché le organizzazioni dei media negli Stati Uniti sono riferito di essere stato preso di mira nell’attacco di spear-phishing. Il payload RuRAT offre all’attaccante l’opportunità di raccogliere informazioni riservate dalla macchina compromessa ed eseguire movimenti laterali nella rete della vittima. Non collegate in alcun modo a questo attacco, le emittenti televisive della Corea del Sud sono state colpite da un malware wiper servito tramite un programma backdoor dannoso nel 2013 in cui le loro operazioni sono state notevolmente interrotte. Come funziona l’attacco Secondo il rapporto di Cluster25, le vittime hanno ricevuto un’e-mail con un link. L’e-mail ha il seguente contenuto: “Ciao, siamo un gruppo di venture capitalist che investono in progetti promettenti. Abbiamo visto il tuo sito Web e siamo rimasti stupiti dal tuo prodotto. Vogliamo discutere l’opportunità di investire o acquistare una parte della tua quota progetto. Contattaci telefonicamente o tramite la chat di Vuxner. Il tuo agente è Philip Bennett. Il suo nome utente in Vuxner è philipbennett Assicurati di contattarci al più presto perché di solito non siamo così generosi con le nostre offerte. Grazie in anticipo!” Dopo aver fatto clic sul collegamento, la vittima viene reindirizzata a una pagina Web in cui viene chiesto alla vittima di fare clic su un collegamento per scaricare e installare una chat software Vuxner. Il file scaricato è un programma di installazione per la chat di Vuxner Trillian e non di Vuxner. Dopo che la vittima ha completato l’installazione ed è uscito dal programma di installazione, un altro file remoto, risulta essere un programma di installazione per RuRAT, viene scaricato e installato sul computer della vittima. Che cos’è RuRAT?RuRAT, il cui primo rapporto risale almeno a ottobre 2020, è un Trojan di accesso remoto (RAT) che fornisce a un utente malintenzionato un accesso remoto alla macchina compromessa. Le funzionalità di RuRAT includono: – Ascolto delle comunicazioni in arrivo – Acquisizione di schermate – Registrazione delle chiavi – Registrazione dell’audio Qual è lo stato della copertura? FortiGuard Labs fornisce la seguente copertura AV per i file coinvolti in questo attacco: W32/IndigoRose.AP!tr.dldrW32/RemoteUtilities. W!trW32/Agent.9EE5!trTutti gli IOC di rete sono bloccati dal client WebFiltering.
