RevengeRAT
RevengeRAT ist Teil einer bedrohlichen Malware-Kampagne, die sich an Computerbenutzer in Europa, Asien, dem Nahen Osten und Nordamerika richtet. RevengeRAT wird über eine Vielzahl von Webseiten verteilt, die auf öffentlichen Plattformen wie Blogspot und Pastebin gehostet werden. Diese Seiten werden auch als Teil der Befehls- und Kontrollinfrastruktur von RevengeRAT verwendet, die zur Durchführung von RevengeRAT-Angriffen verwendet wird. Berichte über die neueste RevengeRAT-Kampagne wurden im März 2019 veröffentlicht, obwohl es den RevengeRAT-Trojaner seit 2016 gibt. Diese aktuelle Malware-Kampagne im Zusammenhang mit RevengeRAT wurde als "Aggah" bekannt und scheint sich an große Unternehmen und Regierungsnetzwerke zu richten.
Inhaltsverzeichnis
Wie der RevengeRAT-Trojaner einen Computer angreift
Der RevengeRAT-Trojaner ist seit 2016 für alle verfügbar und wurde in Hacking-Foren veröffentlicht. Sobald RevengeRAT installiert ist, ermöglicht RevengeRAT dem Angreifer, den infizierten Computer von weitem zu steuern. Mit RevengeRAT können Kriminelle auf Dateien auf einem Computergerät zugreifen, Speicherprozesse und -dienste ausführen, die Aktivitäten des Opfers ausspionieren und Änderungen am betroffenen Gerät vornehmen. Mit RevengeRAT können Kriminelle auch auf Peripheriegeräte zugreifen, die an den infizierten Computer angeschlossen sind. So können sie beispielsweise Tastenanschläge auf der Tastatur des infizierten Computers verfolgen oder auf die Kamera oder das Mikrofon zugreifen, um die Umgebung des infizierten Computers zu überwachen.
Wie RevengeRAT in der Aggah-Kampagne verteilt wird
RevengeRAT wurde seit seiner Gründung auf vielfältige Weise verbreitet, einschließlich typischer bekannter Malware-Übermittlungsmethoden wie der Verwendung von Spam-E-Mail-Anhängen oder beschädigter Online-Werbung und beschädigter Websites. Die Hauptmethode, mit der RevengeRAT in der Aggah-Kampagne bereitgestellt wird, sind beschädigte Dokumente, die eingebettete Makros verwenden, um RevengeRAT herunterzuladen und auf dem Computer des Opfers zu installieren. Mit dieser Kampagne verknüpfte eingebettete Makros verwenden Beiträge auf Blogspot, um ein Skript zu erhalten, das Pastebin-Inhalte verwendet, um zusätzliche Inhalte herunterzuladen, bis schließlich RevengeRAT installiert und mit seinem Befehls- und Steuerungsserver verbunden ist. Die anfängliche Täuschungsdatei, mit der der RevengeRAT-Angriff beginnt, kann auf verschiedene Weise getarnt werden und sich je nach Opfer ändern. Eine am 27. März 2019 beobachtete Probe wurde in einer gefälschten E-Mail-Nachricht von einer Bank mit dem Betreff "Ihr Konto ist gesperrt" zugestellt, wodurch das Opfer dazu verleitet wurde, die angehängte Datei zu öffnen, weil es sich um ein offizielles Dokument einer Bank handelt.
Wie RevengeRAT ein Gerät infiziert
Wenn das Opfer die Täuschungsdatei öffnet, wird ein Bild angezeigt, um das Opfer dazu zu bringen, Microsoft Office-Makros zu aktivieren. Wenn dies möglich ist, kann RevengeRAT über einen Prozess mit mehreren Schritten, die verschiedene, unterschiedliche URLs umfassen, auf dem Computer des Opfers installiert werden. Sobald RevengeRAT installiert ist, deaktiviert dieser Trojaner Microsoft Defender und versucht, andere Sicherheitsinhalte auf dem Computer des Opfers zu deaktivieren. Die bei diesen jüngsten Angriffen installierte RevengeRAT-Variante trägt den Spitznamen "Nuclear Explosion" und scheint einen typischen Backdoor-RAT-Angriff auszuführen. Ein mit der RevengeRAT-Verteilung verbundener Link wurde fast zweitausend Mal mit Zielen in mehr als zwanzig verschiedenen Ländern angeklickt. Dies deutet darauf hin, dass es sehr wahrscheinlich ist, dass RevengeRAT-Angriffe das potenzielle Opfer besonders erfolgreich erreicht haben.
Schutz Ihrer Daten vor RevengeRAT
Der beste Schutz gegen RATs wie den RevengeRAT-Trojaner besteht darin, ein Sicherheitsprodukt auf Ihrem Computer zu installieren, das vollständig auf dem neuesten Stand ist. Neben einem zuverlässigen Anti-Malware-Programm empfehlen Malware-Forscher Computerbenutzern, sicherzustellen, dass andere Sicherheitsgeräte auf ihrem Computer aktiviert sind, z. B. eine zuverlässige Firewall und ein Anti-Spam-Filter. PC-Sicherheitsforscher empfehlen, Makros in Microsoft Office zu deaktivieren und das Herunterladen verdächtiger Dateien, insbesondere unerwünschter E-Mail-Anhänge, zu vermeiden.
Analysebericht
Allgemeine Information
| Family Name: | Trojan.Revenge-RAT |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
f7f95cde7776936c0cc90253a77a330b
SHA1:
53b9c14cea890878ecd6a50de587fbff5c5d2dcd
SHA256:
61772167A95F7D7EB84337C06144CBBA21B88B0ACE8EF24D59426C7A50E6ACC6
Dateigröße:
16.90 KB, 16896 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have resources
- File doesn't have security information
- File is .NET application
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is not packed
Show More
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- .NET
- NewLateBinding
- No Version Info
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 28 |
|---|---|
| Potentially Malicious Blocks: | 3 |
| Whitelisted Blocks: | 7 |
| Unknown Blocks: | 18 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
Show More
|
| User Data Access |
|
| Anti Debug |
|
| Other Suspicious |
|
| Encryption Used |
|
| Network Winsock2 |
|
| Network Winsock |
|