Jis ištirpsta sistemoje greičiau nei tabletė stiklinėje vandens.
„Morphisec“ kibernetinio saugumo tyrėjai aptiko naują nuotolinės prieigos trojaną ‚ResolverRAT‘, kuris aktyviai naudojamas atakose prieš medicinos ir farmacijos organizacijas. Šiai kenkėjiškų programų kampanijai būdinga sudėtinga infrastruktūra ir didelis maskuotės laipsnis, todėl ji ypač pavojinga organizacijoms, kurios tvarko slaptus duomenis.
Pagrindinis užkrėtimo vektorius – apgaulingi el. laiškai, sukurti pagal gąsdinančius scenarijus, susijusius su tyrimais arba autorių teisių pažeidimais. Tokie el. laiškai sukuria skubos jausmą ir priverčia gavėjus spausti nuorodą. Atidarius prisegtą rinkmeną, naudojant DLL perkėlimo į kitą kompiuterį metodą, pradedama „ResolverRAT“ vykdymo grandinė. Kenkėjiškas kodas neįrašomas į diską – jis egzistuoja tik operatyviojoje atmintyje, todėl jį sunku aptikti.
Kampanija yra tarptautinio pobūdžio – įsilaužėliai pritaiko el. laiškų tekstą prie tikslinių šalių kalbų, įskaitant hindi, italų, čekų, turkų, portugalų ir indoneziečių kalbas. Tai rodo, kad bandoma išplėsti aprėptį ir padidinti užkrėtimų sėkmės rodiklį, pritaikant masalus regionams.
Techninio įgyvendinimo požiūriu „ResolverRAT“ būdingas sudėtingas daugiapakopis atsisiuntimas ir nuolatiniai įsitvirtinimo sistemoje mechanizmai. Be registro ir failų sistemos įskiepijimo, ji naudoja unikalią sertifikatų autentiškumo patvirtinimo schemą, kad apeitų sistemos šakninių sertifikatų institucijas. Taip pat įdiegta komandų ir valdymo serverio IP adresų rotacijos sistema, kuri leidžia „Trojos arkliui“ tęsti savo darbą net ir užblokavus pagrindinį ryšio kanalą.
Kad išvengtų analizės, Trojos arklys naudoja sertifikatų prisegimą, kodo užmaskavimą ir nestandartinius bendravimo su C2 serveriu intervalus. Tai gerokai sumažina saugumo stebėjimo priemonių aptikimo tikimybę. Perduodamų duomenų, kurių dydis viršija 1 MB, dydis suskaidomas į nedidelius 16 KB gabalėlius, todėl juos aptikti dar sunkiau.
Bendrovės „Morphisec“ tyrėjai pastebi panašumų į sukčiavimo atakas, kuriomis anksčiau buvo platinamos kenkėjiškos programos „Lumma“ ir „Rhadamanthys“. Buvo aptikta bendrų infrastruktūros elementų ir pristatymo metodų, o tai gali rodyti skirtingų grupių sąveiką arba susijusio platinimo modelio naudojimą.
Lygiagrečiai CYFIRMA ekspertai pranešė apie dar vieną RAT kenkėjišką programą, pavadintą „Neptune RAT“. Kitaip nei „ResolverRAT“, ji laisvai platinama per „GitHub“, „Telegram“ ir „YouTube“. Neptune RAT yra modulinės struktūros ir apima kriptografinę programą, slaptažodžių vagystę iš daugiau kaip 270 programų, darbalaukio stebėjimo realiuoju laiku galimybes, šifratorių ir net MBR perrašymo modulį, kuris sutrikdo sistemos paleidimą.
Neptūnas RAT taip pat naudoja antianalizę ir ilgą laiką išlieka sistemoje. Ši kenkėjiška programa kelia rimtą grėsmę dėl savo funkcionalumo ir laisvo platinimo.