VileRAT-Malware

Die VileRAT-Malware ist eine potente Bedrohung, die von Cyberkriminellen verwendet wird, um Broker für Devisen- und Kryptowährungsbörsen anzugreifen. Zielgerichtete oder kompromittierte Organisationen wurden an einer Vielzahl von geografischen Standorten identifiziert, darunter Kuwait, die Vereinigten Arabischen Emirate, die Russische Föderation, Deutschland, Bulgarien und mehr.

Laut einem von Malware-Experten veröffentlichten Bericht wurde VileRAT der Cybercrime-Gruppe DeathStalker zugeschrieben, einer Organisation, von der angenommen wird, dass sie Hacking-for-Hire-Dienste anbietet. Die VilerRAT-Kampagne zeigt die verbesserten Fähigkeiten von DeathStalker, eine Erkennung zu vermeiden, indem hochmoderne Verschleierungen, Multi-Layer- sowie Low-Layer-Packing, In-Memory-PE-Loader mit mehrstufiger Ausführung verwendet werden und sogar darauf ausgelegte heuristische Umgehungen spezifische Sicherheitslösungen täuschen. Die endgültige VileRAT-Nutzlast hat jedoch immer noch eine Größe von gewaltigen 10 MB.

Sobald der RAT (Remote Access Trojan) auf dem angegriffenen System ausgeführt wurde, ermöglicht er den Angreifern, beliebige Befehle über die Eingabeaufforderung auszuführen. Die Hacker können auch zusätzliche Dateien oder Payloads herunterladen, ausgewählte Dateien ausführen, das Dateisystem manipulieren, Prozesse beenden, Websites öffnen und vieles mehr. VileRAT kann Keylogging-Routinen einrichten, um vertrauliche Informationen wie Kontodaten, Anmeldedaten, Zahlungsdaten usw. zu erhalten.

Um sicherzustellen, dass es weiterhin auf dem infizierten System vorhanden ist, aktiviert VileRAT einen Persistenzmechanismus, indem geplante Aufgaben über den Windows-Taskplaner erstellt werden. Die DeathStalker-Hacker können Updates für die Bedrohung vom Command-and-Control-Server der Operation pushen.