ApolloRATTE

ApolloRAT ist, wie der Name schon sagt, ein Remote Access Trojaner (RAT). Die Bedrohung wurde mit der Programmiersprache Python erstellt und ist mit einer Vielzahl schädlicher Funktionen ausgestattet. Wie die meisten Bedrohungen dieser Art kann ApolloRAT den Angreifern Fernzugriff auf das angegriffene Gerät gewähren. Danach können die Hacker beliebige Shell-Befehle auf dem System ausführen, es herunterfahren oder neu starten und sogar einen kritischen Systemfehler auslösen.

Abhängig von den spezifischen Zielen der Angreifer kann ApolloRAT angewiesen werden, riesige Datenmengen von dem infizierten System zu sammeln. Die gesammelten Details können die IP-Adresse, den Browserverlauf, Wi-Fi-Passwörter, aus den Browsern des Opfers extrahierte Passwörter und mehr umfassen. Die Malware kann auch das Dateisystem manipulieren, indem sie zusätzliche Dateien herunterlädt oder ausgewählte Dateien hochlädt, wodurch Cyberkriminelle bedrohliche Payloads der nächsten Stufe an das Gerät liefern oder an sensible und vertrauliche Daten gelangen können. ApolloRAT kann auch Screenshots machen, Nachrichten anzeigen oder Text-zu-Sprache-Audio abspielen. Die Bedrohungsakteure können ApolloRAT als Teil von Phishing-Schemata verwenden. Die Malware kann gefälschte Anwendungsoberflächen oder PDF-Dokumente anzeigen.

Es sei darauf hingewiesen, dass ApolloRAT über mehrere Anti-Erkennungstechniken verfügt. Erstens wird es mit dem Nuitka-Source-to-Course-Compiler kompiliert, was das Reverse-Engineering erheblich erschwert, da Nuitka unter Cyberkriminellen keine gängige Wahl ist. Die Bedrohung kann nach Anzeichen dafür suchen, dass sie in einer virtuellen Umgebung ausgeführt werden, Windows Defender und Firewall sowie den Windows Task-Manager deaktivieren. Die Verwendung der Messaging-Plattform Discord als Command-and-Control (C&C)-Server erschwert die Erkennung der Malware zusätzlich.