RAT-malware målrettet ukraine-interesserede huserer i Tyskland

Et målrettet angreb mod folk, der er interesserede i Ukraine-krigen er lige nu i gang i Tyskland, hvor flere inficeres med den såkaldte Powershell RAT, skriver malwarebytes.

»This week our analysts discovered a new campaign that plays on these concerns by trying to lure Germans with a promise of updates on the current threat situation in Ukraine. The downloaded document is in fact decoy for a Remote Access Trojan (RAT) capable of stealing data and executing other malicious commands on a victim’s computer,« skriver malwarebytes på deres blog. 

Angriberne efterligner slet og ret troværdige medier, hvor de lover den nyeste information om ukraine-krigen i dokumenter, der skal downloades - men i virkeligheden er der tale om en Windows help-fil, der indeholder en trojan: 

»The CHM format is Microsoft’s HTML help file format, which consists of a number of compiled HTML files. The script eventually drops two files onto the victim's computer, the RAT in .txt file form and a .cmd file that helps execute it through PowerShell,« skirver malwarebytes. 

Herefter begynder malwaren at lave unoder, først og fremmest ved at indsamle informationer om det ramte system. Disse oplysninger sendes så til et tysk domæne på "kleinm[.]de".

»Based on motivation alone, we hypothesize that a Russian threat actor could be targeting German users, but without clear connections in infrastructure or similarities to known TTPs, such attribution is weak,« skriver Malwarebytes, der altså peger på en ukendt, russisk trusselsaktør. 

En af pointerne i Malwarebytes opslag er, at man altid bør være skeptisk, hvis nyheder præsenteres som dokumenter, der skal downloades. Man bør derudover altid huske, at websites kan skifte ejer eller kopieres til punkt og prikke, lyder det.