Cofense perspėja apie didėjantį nuotolinės prieigos Trojos arklys užkratą, nes kenkėjiškos programos tampa vis sudėtingesnės

Naujoje ataskaitoje, kurią šiandien paskelbė sukčiavimo aptikimo ir reagavimo sprendimų bendrovė „Cofense Inc.“, įspėjama, kad nuotolinės prieigos Trojos arklys, pirmą kartą aptiktas 2020 m., šiuo metu veikia laukiškai ir vis dažniau naudojamas sukčiavimo kenkėjiškų programų kampanijose.

Aptariamas RAT vadinamas STR RAT ir dažniausiai pristatomas tiesiogiai el. paštu, o ne įterptuoju saitu. STR RAT „Cofense“ apibūdina kaip „kaip sezoninį gripą“, nes kiekvienais metais tam tikra infekcijos grandinės dalis atnaujinama, o SRT RAT per trumpą laiką ne tik išsivystė, bet ir tapo ryškesnė.

SRT RAT ypatybės apima galimybę pavogti slaptažodžius, registruoti klavišų paspaudimus ir suteikti užpakalinių durų prieigą jį naudojantiems piktybiniams veikėjams. RAT gali pavogti slaptažodžius, išsaugotus „Chrome“, „Firefox“ ir, keista, atsižvelgiant į 2024 m., „Internet Explorer“. Pašto klientams RAT taikoma „Outlook“, „Thunderbird“ ir Kinijos „Foxmail“.

Pagrindinės komandos apima o-keylogger, kuri, kaip teigiama, sukuria tekstinį failą, kuriame yra visas vėlesnis įvestas tekstas. RAT taip pat naudoja komandą, vadinamą „down-n-exec“, kad atsisiųstų ir paleistų failą, nuotolinį ekraną, kad užpuolikas galėtų valdyti kompiuterį, ir „PowerShell“ terminalo maitinimo apvalkalą.

Nors pirmą kartą buvo pastebėta 2020 m., STR RAT išpopuliarėjo 2023 m., o visai neseniai – iki šių metų kovo mėn., kai buvo pristatyta STR RAT 1.6. Užpuolikai, naudojantys STR RAT, dažniausiai naudojasi teisėtomis paslaugomis, tokiomis kaip „GitHub Inc.“ ir „Amazon Web Services Inc.“, kad priglobtų ir pristatytų RAT, kad atrodytų, jog yra iš teisėto šaltinio.

Po gaubtu STR RAT vykdo Java Runtime Environment ir įdiegia priklausomybes, sukuria pastovumą įvairiose sistemos vietose ir konfigūravimui bei šifravimui naudoja Java archyvo failus. Patvarumo mechanizmas užtikrina, kad kenkėjiška programa išliktų aktyvi ir sunkiai pašalinama iš užkrėstų sistemų.

STR RAT toliau naudoja geografinės padėties nustatymo paslaugas, kad gautų užkrėstų kompiuterių pirštų atspaudus ir siunčia šiuos duomenis kartu su kita sistemos informacija į komandų ir valdymo serverius. Tada užpuolikai naudoja informaciją, kad pritaikytų savo kenkėjišką veiklą pagal užkrėsto įrenginio vietą ir sistemos specifiką.

Nors ataskaitoje nepateikiamas sąrašas rekomendacijų, kaip išvengti SRT RAT, joje nurodomas tvirtos el. pašto saugos poreikis, nes RAT paprastai pristatomas tiesiogiai per el. pašto priedus. El. pašto saugumo didinimas, siekiant aptikti ir blokuoti įtartinus priedus ir URL, yra pagrindinis būdas blokuoti STR RAT atakas.

Be to, būtinybė būti budriems ir stebėti, ar tinklo sraute nėra neįprastų modelių, yra dar vienas būdas užkirsti kelią kenkėjiškoms atakoms. Taip pat gali padėti baigties aptikimo atsako įrankių naudojimas galimiems kompromiso rodikliams stebėti ir analizuoti.

Nuotrauka: Tambako The Jaguar / Flickr