Microsoft пададе сигнал за инструмент за отдалечен достъп (RAT), наречен RevengeRAT, който според гиганта се използва за атака на компании от аерокосмически и туристически сектори с имейли за фишинг схеми. RevengeRAT, известен също като AsyncRAT, се разпространява чрез внимателно изработени имейл съобщения, които подканват служителите да отворят файл, маскиран като прикачен Adobe PDF файл, който всъщност изтегля злонамерен Visual Basic (VB) файл.
Фирмата за сигурност Morphisec наскоро идентифицира двата RAT-а като част от усъвършенствана измамна схема, която предоставя сериозни възможности за злонамерени атаки. Според Microsoft фишинг имейлите разпространяват файл, който след това доставя RevengeRAT или AsyncRAT. Morphisec казва, че се доставя и агентът RAT Tesla.
"Кампанията използва имейли, които подвеждат легитимни организации с примамки, свързани с авиацията, пътуванията или логистиката. Изображение, представящо се като PDF файл, съдържа вградена връзка (обикновено злоупотребявайки с легитимни уеб услуги), която изтегля злонамерен VBScript, който активира RAT инструмента", заявява Microsoft.
Morphisec нарече експлойта Snip3 въз основа на потребителско име, взето от злонамерения софтуер, който е открит в по-ранни варианти. Snip3 е конфигуриран да не зарежда RAT, ако установи, че се изпълнява в Windows Sandbox - защитна функция на виртуална машина, представена от Microsoft през 2018 г. Windows Sandbox има за цел да позволи на опитните потребители да стартират потенциално злонамерени изпълними файлове в безопасна среда, която не влияе на операционната система на машината.
Снимка: Pikrepo
Виж още: Wi-Fi устройствата ще могат да ни следят и да събират данни от 2024 г. с новия 802.11bf стандарт