RuRAT

RuRAT ist eine legitime Softwareanwendung, die Benutzern Fernzugriff auf die Computer bietet, auf denen sie installiert ist. Leider wird auch dieses, wie die meisten Tools für den Fernzugriff, von Cyberkriminellen ausgenutzt, um ihnen unrechtmäßigen Zugriff auf die Geräte des Opfers zu verschaffen. Einmal erfolgreich auf den Zielcomputern bereitgestellt, erlaubt RuRAT den Angreifern, die volle Kontrolle zu übernehmen. Abhängig von den spezifischen Zielen der Bedrohungsakteure können sie versuchen, Kontoanmeldeinformationen oder andere Datentypen zu sammeln oder das kompromittierte Gerät zu nutzen, um mit der seitlichen Verbreitung innerhalb des Netzwerks zu beginnen.

Cyberkriminelle geben sich als VC-Firma aus

Die Drohkampagne, die RuRAT einsetzt, zeigt beträchtliche Bemühungen seitens der Angreifer und scheint eine äußerst begrenzte Anzahl von Opfern im sogenannten Spear-Phishing anzusprechen. In der Anfangsphase der Kampagne senden die Angreifer eine Köder-E-Mail an die ausgewählte Entität. In der Nachricht behaupten die Hacker, eine Gruppe von Risikokapitalgebern zu sein, die eine bedeutende Investition tätigen wollen. Um weitere Einzelheiten zu erfahren, wird das potenzielle Opfer aufgefordert, die Hacker entweder telefonisch anzurufen oder sie über die Vuxner-Chat-App zu kontaktieren.

Bait-Website

Die Suche nach dem Vuxner-Chat führt zu einer professionell gestalteten und legitim aussehenden Website für eine Messaging-Anwendung, die sich selbst mit Sicherheitsmaßnahmen der nächsten Stufe bewirbt. Diese sorgfältig gestaltete Fassade beginnt jedoch ziemlich schnell zu bröckeln, wenn versucht wird, den sogenannten Vuxner-Chat herunterzuladen. Tatsächlich lädt die Datei Vuxner.exe eine Messaging-Anwendung namens Trillian herunter. Diese Application dient als Lockvogel und nach der Installation wird die RuRAT-App auf dem System des Opfers in einem Ordner abgelegt, der sich unter C:\swrbldin befindet. Seltsamerweise haben die Cyberkriminellen eine Warnmeldung hinterlassen, in der sie die Benutzer auffordern, der Installation der Fernzugriffssoftware „Remote Utilities“ zuzustimmen, die während der RuRAT-Installation ausgelöst wird.

Die RuRAT-Drohkampagne zeigt einmal mehr die Gefahren des blinden Vertrauens in E-Mail-Nachrichten aus unbekannten Quellen oder solche mit wenigen seriösen Quellen im Internet. Sowohl Benutzer als auch Unternehmen sollten im Umgang mit unerwünschten Angeboten oder scheinbar dringenden Warnungen, die in ihren E-Mails erscheinen, stets Vorsicht walten lassen.