PowerShell-RAT

Cybersicherheitsforscher haben eine neue RAT (Remote Access Threat) identifiziert, die Cyberkriminelle gegen Ziele in Deutschland eingesetzt haben. Der Trojaner wird als PowerShell RAT verfolgt und über beschädigte Websites eingesetzt, wobei der Krieg in der Ukraine als Köder dient.

Die PowerShell RAT ist mit der typischen Funktionalität ausgestattet, die von Bedrohungen dieser Art erwartet wird. Nach der Bereitstellung auf den Zielsystemen beginnt es mit der Erfassung relevanter Gerätedaten. Wie der Name schon sagt, drehen sich die Hauptfunktionen der Bedrohung um die Ausführung von PowerShell-Skriptbefehlen. Darüber hinaus können die Angreifer ausgewählte Dateien aus dem angegriffenen System exfiltrieren oder zusätzliche Payloads darauf bereitstellen. Dadurch können die Angreifer ihre Fähigkeiten innerhalb des Systems je nach Ziel erweitern. Sie können zusätzliche Trojaner, Ransomware-Bedrohungen, Krypto-Miner usw. herunterladen und ausführen.

Die Köder-Website, die die PowerShell RAT verbreitet, ist so gestaltet, dass sie der Website des Landes Baden-Württemberg sehr ähnlich ist. Die Angreifer nutzten sogar eine Domain – Collaboration-bw(dot)de –, die zuvor mit der offiziellen Seite verknüpft war. Auf der gefälschten Seite würden den Benutzern genaue Informationen über die Ereignisse im Zusammenhang mit dem Krieg in der Ukraine präsentiert. Die Website wird versuchen, ihre Besucher davon zu überzeugen, eine Datei mit dem Namen „2022-Q2-Bedrohungslage-Ukraine.chm.txt“ herunterzuladen. Nach dem Öffnen zeigt die Datei eine gefälschte Fehlermeldung über ein vermeintliches Problem an, während ein kompromittiertes Skript stillschweigend im Hintergrund ausgeführt wird. Das Skript initiiert die Infektionskette der PowerShell RAT.