LimeRAT
LimeRAT ist ein einfacher RAS-Trojaner, der Bedrohungsakteuren dennoch eine Vielzahl schändlicher Funktionen bietet. Die Bedrohung wurde entwickelt, um Windows-Systeme zu infizieren, und verfügt über eine modulare Zusammensetzung, die an die Bedürfnisse der Hacker angepasst werden kann. Es kann eine Hintertür auf dem gefährdeten Computer einrichten und beliebige Befehle ausführen. Auf Anweisung kann LimeRAT Crypto-Miner-Nutzdaten bereitstellen oder eine Verschlüsselungsroutine initiieren, die die Zieldateitypen auf ähnliche Weise wie Ransomware-Bedrohungen sperrt. Darüber hinaus können alle erfolgreich infiltrierten Systeme zu Botnetzen hinzugefügt werden.
Wenn dies nicht ausreicht, kann LimeRAT auch als Screen Locker oder Datenkollektor fungieren, der private Daten und Dateien sammelt und sie auf seinen Command-and-Control-Server (C2, C & C) filtert. Alle hochgeladenen Informationen werden zuerst mit dem kryptografischen AES-Algorithmus verschlüsselt. Die Malware-Bedrohung kann auch USB-Laufwerke erkennen, die an das infizierte System angeschlossen sind, und diese verwenden, um sich weiter zu verbreiten.
LimeRAT verfügt über mehrere Techniken zur Vermeidung von Erkennungen und zur Verhinderung von Virtualisierung. Es kann nach Anzeichen für die Ausführung in einer virtuellen Maschine (VM) suchen und sich bei Bedarf selbst deinstallieren.
Infektion über eine alte Excel-Verschlüsselungstechnik
LimeRAT wird in einer kürzlich erkannten Angriffskampagne als schreibgeschütztes Excel-Dokument verbreitet. Die trojanisierten Dokumente werden an Phishing-E-Mails angehängt, die sich an die ausgewählte Zielgruppe richten. Die Entscheidung, schreibgeschützte und nicht gesperrte Dokumente zu verwenden, ist bewusst. Für schreibgeschützte Dateien muss kein Kennwort geöffnet werden, und sie können auch in einer alten Excel-Ausnutzungstechnik verwendet werden. Wenn eine solche Datei ausgeführt wird, versucht Excel, sie mit einem eingebetteten Standardkennwort - "VelvetSweatshop" - zu entschlüsseln. Gleichzeitig werden integrierte Makros aktiviert und die beschädigte Nutzlast kann ihre Angriffskette initiieren. Die Verwendung dieser Technik stammt aus dem Jahr 2013 und dem Exploit wurde die Bezeichnung CVE-2012-0158 zugewiesen. Obwohl das Problem schon vor langer Zeit behoben wurde, scheinen Cyberkriminelle erneut darauf zurückzukommen, um neue Opfer zu infizieren.