Forskare vid SafeBreach noterade en fjärråtkomsttrojan som heter CodeRAT, som är kapabel till en rad skadliga aktiviteter när den väl har installerats i det riktade systemet.
CodeRAT kommer från Iran och riktar sig till farsi-talande mjukvaruutvecklare för att stjäla deras arbete från IDE:er och annan känslig information. Denna RAT kan styras av en Telegram-bot och använder en offentlig anonym filuppladdnings-API för att exfiltrera stulna data.
En sofistikerad RAT-inriktningsprogramvara Dev
För det mesta distribueras trojaner med fjärråtkomst av två huvudskäl – antingen för att stjäla målets data eller använda den som en bakdörr för andra skadliga operationer, som ransomware.
CodeRAT är en av dem, gjord för att stjäla verk och annan känslig data från farsi-talande mjukvaruutvecklare. kod sägs komma från Iran och är sofistikerad för att stjäla data på ovanliga sätt – säger SafeBreach-forskare.
Förklara hur detta fungerar, Forskare sa att skadlig programvara stöder cirka 50 kommandon som att ta skärmdumpar, kopiera innehåll från urklipp, få en lista över pågående processer, avsluta processer, kontrollera GPU-användning, ladda ner, ladda upp, ta bort filer och köra program.
Det är användbart för att spionera på känsliga fönster för verktyg som Visual Studio, Python, PhpStorm och Verilog. Implementering av CodeRAT börjar med att skicka ett Word-dokument till målet initialt, vilket inkluderar en Microsoft Dynamic Data Exchange (DDE) exploatering.
Intet ont anande personer som laddar ner och kör exploateringen (CodeRAT) kommer att erbjudas till hotaktören, som kan utföra skadliga attacker på distans från en Telegram-bot! Som forskare noterade, CodeRAT använder en Telegram-baserad mekanism istället för den vanliga vanliga kommando- och kontrollserverinställningen.
Väl in kommer hotaktören, via sitt användargränssnitt, skicka ett kommando – som fördunklas och skickas till något av de tre sätten;
- Telegram bot API med proxy (inga direkta förfrågningar)
- Manuellt läge (inkluderar USB-alternativ)
- Lokalt lagrade kommandon i mappen “myPictures”.
Hotaktören använder samma ovan tre sätt att exfiltrera den stulna informationen tillbaka också. Att lägga till sina datastjälningsmöjligheter, CodeRAT kan till och med kvarstå mellan systemstarter utan att göra några ändringar i Windows-registret – säg, forskare, utan att specificera exakt hur.
Tja, även om det sades vara inriktat på farsi-talande mjukvaruutvecklare, har författaren till CodeRAT publicerat skadlig kod med öppen källkod efter att ha kontaktats av forskarna – vilket hotar hela samhället nu.