RevengeRAT
RevengeRAT ist Teil einer bedrohlichen Malware-Kampagne, die sich an Computerbenutzer in Europa, Asien, dem Nahen Osten und Nordamerika richtet. RevengeRAT wird über eine Vielzahl von Webseiten verteilt, die auf öffentlichen Plattformen wie Blogspot und Pastebin gehostet werden. Diese Seiten werden auch als Teil der Befehls- und Kontrollinfrastruktur von RevengeRAT verwendet, die zur Durchführung von RevengeRAT-Angriffen verwendet wird. Berichte über die neueste RevengeRAT-Kampagne wurden im März 2019 veröffentlicht, obwohl es den RevengeRAT-Trojaner seit 2016 gibt. Diese aktuelle Malware-Kampagne im Zusammenhang mit RevengeRAT wurde als "Aggah" bekannt und scheint sich an große Unternehmen und Regierungsnetzwerke zu richten.
Inhaltsverzeichnis
Wie der RevengeRAT-Trojaner einen Computer angreift
Der RevengeRAT-Trojaner ist seit 2016 für alle verfügbar und wurde in Hacking-Foren veröffentlicht. Sobald RevengeRAT installiert ist, ermöglicht RevengeRAT dem Angreifer, den infizierten Computer von weitem zu steuern. Mit RevengeRAT können Kriminelle auf Dateien auf einem Computergerät zugreifen, Speicherprozesse und -dienste ausführen, die Aktivitäten des Opfers ausspionieren und Änderungen am betroffenen Gerät vornehmen. Mit RevengeRAT können Kriminelle auch auf Peripheriegeräte zugreifen, die an den infizierten Computer angeschlossen sind. So können sie beispielsweise Tastenanschläge auf der Tastatur des infizierten Computers verfolgen oder auf die Kamera oder das Mikrofon zugreifen, um die Umgebung des infizierten Computers zu überwachen.
Wie RevengeRAT in der Aggah-Kampagne verteilt wird
RevengeRAT wurde seit seiner Gründung auf vielfältige Weise verbreitet, einschließlich typischer bekannter Malware-Übermittlungsmethoden wie der Verwendung von Spam-E-Mail-Anhängen oder beschädigter Online-Werbung und beschädigter Websites. Die Hauptmethode, mit der RevengeRAT in der Aggah-Kampagne bereitgestellt wird, sind beschädigte Dokumente, die eingebettete Makros verwenden, um RevengeRAT herunterzuladen und auf dem Computer des Opfers zu installieren. Mit dieser Kampagne verknüpfte eingebettete Makros verwenden Beiträge auf Blogspot, um ein Skript zu erhalten, das Pastebin-Inhalte verwendet, um zusätzliche Inhalte herunterzuladen, bis schließlich RevengeRAT installiert und mit seinem Befehls- und Steuerungsserver verbunden ist. Die anfängliche Täuschungsdatei, mit der der RevengeRAT-Angriff beginnt, kann auf verschiedene Weise getarnt werden und sich je nach Opfer ändern. Eine am 27. März 2019 beobachtete Probe wurde in einer gefälschten E-Mail-Nachricht von einer Bank mit dem Betreff "Ihr Konto ist gesperrt" zugestellt, wodurch das Opfer dazu verleitet wurde, die angehängte Datei zu öffnen, weil es sich um ein offizielles Dokument einer Bank handelt.
Wie RevengeRAT ein Gerät infiziert
Wenn das Opfer die Täuschungsdatei öffnet, wird ein Bild angezeigt, um das Opfer dazu zu bringen, Microsoft Office-Makros zu aktivieren. Wenn dies möglich ist, kann RevengeRAT über einen Prozess mit mehreren Schritten, die verschiedene, unterschiedliche URLs umfassen, auf dem Computer des Opfers installiert werden. Sobald RevengeRAT installiert ist, deaktiviert dieser Trojaner Microsoft Defender und versucht, andere Sicherheitsinhalte auf dem Computer des Opfers zu deaktivieren. Die bei diesen jüngsten Angriffen installierte RevengeRAT-Variante trägt den Spitznamen "Nuclear Explosion" und scheint einen typischen Backdoor-RAT-Angriff auszuführen. Ein mit der RevengeRAT-Verteilung verbundener Link wurde fast zweitausend Mal mit Zielen in mehr als zwanzig verschiedenen Ländern angeklickt. Dies deutet darauf hin, dass es sehr wahrscheinlich ist, dass RevengeRAT-Angriffe das potenzielle Opfer besonders erfolgreich erreicht haben.
Schutz Ihrer Daten vor RevengeRAT
Der beste Schutz gegen RATs wie den RevengeRAT-Trojaner besteht darin, ein Sicherheitsprodukt auf Ihrem Computer zu installieren, das vollständig auf dem neuesten Stand ist. Neben einem zuverlässigen Anti-Malware-Programm empfehlen Malware-Forscher Computerbenutzern, sicherzustellen, dass andere Sicherheitsgeräte auf ihrem Computer aktiviert sind, z. B. eine zuverlässige Firewall und ein Anti-Spam-Filter. PC-Sicherheitsforscher empfehlen, Makros in Microsoft Office zu deaktivieren und das Herunterladen verdächtiger Dateien, insbesondere unerwünschter E-Mail-Anhänge, zu vermeiden.