TSCookieRAT

Von Mezo in Backdoors, Malware, Trojans

Übersetzen Sie in:

TSCookieRAT ist eine Fernzugriffsbedrohung, die von der Hacker-Gruppe mit der Bezeichnung BlackTech gegen japanische Ziele eingesetzt wurde. Bei der Bedrohungsoperation wurden Köder-E-Mails verwendet, um die Zielbenutzer dazu zu bringen, auf eine URL zu klicken, die zur Bedrohung führt. Es sollte beachtet werden, dass TSCookieRAT ursprünglich auch unter dem Namen PLEAD verfolgt wurde, aber eine spätere Analyse hat bestimmte Unterschiede zwischen den beiden ergeben.

Die in der Kampagne verwendeten Lock-E-Mails stammten angeblich vom japanischen Ministerium für Bildung, Kultur, Sport, Wissenschaft und Technologie. Die in den E-Mails angegebene URL lädt eine verschlüsselte DLL-Datei herunter, die die Loader-Komponente von TSCookieRAT enthält. Die DLL-Datei wird dann geladen und im Speicher ausgeführt. Die schädlichen Funktionen der Bedrohung werden dann in den späteren Phasen des Angriffs erweitert, indem zusätzliche Module vom Command-and-Control-Server (C2, C & C) der Kampagne abgerufen und ausgeführt werden. Alle Komponenten im Spätstadium werden auch im Speicher ausgeführt.

Wenn TSCookieRAT bereit ist, seinen Bedrohungsvorgang zu starten, sendet es eine HTTP-GET-Anforderung an C & C und wartet dann auf eingehende Befehle. Die Bedrohung ermöglicht es dem Akteur, ein erhebliches Maß an Kontrolle über das infizierte System zu erlangen. Die Hacker können beliebige Shell-Befehle ausführen, Daten einschließlich Laufwerks- und Systeminformationen exfiltrieren, das Dateisystem manipulieren und vertrauliche Informationen wie Kennwörter von den gängigsten Webbrowsern - Chrome, Firefox, Edge, Internet Explorer und dem Outlook-E-Mail-Client - abrufen. Die als Antwort auf die empfangenen Befehle gesammelten Ergebnisse werden dann im gleichen Format wie die erste HTTP-POST-Anforderung hochgeladen.

Die BlackTech-Angriffskampagnen gegen japanische Ziele können fortgesetzt werden und verschiedene Malware-Bedrohungen beinhalten. Daher sollten Unternehmen ihre Cybersicherheit auf einem zufriedenstellenden Niveau halten und Software-Sicherheitspatches rechtzeitig implementieren.

Suche

Region ändern

TSCookieRAT

Kommentar abgeben

Im Trend

Safe Search Eng

MarioLocker Ransomware

MyWallPaper

Am häufigsten gesehen

Ist Lookmovie.io sicher?

So beheben Sie den Fehler 'Druckertreiber ist nicht...

Discord zeigt beim Teilen des Bildschirms schwarzen...