Aggah
Le malware Aggah est une variante du Revenge RAT (Remote Access Trojan) qui a été utilisé dans des attaques massives au Moyen-Orient. Des chercheurs en sécurité informatique ont découvert qu'un groupe auparavant inconnu avait modifié le code source original de RevengeRAT et utilisé l'alias «haggah» dans les attaques. Les auteurs de menaces utilisent des e-mails de spam pour distribuer leur RAT et peuvent utiliser des e-mails qui ressemblent à des messages internes à l'entreprise. Les attaquants semblent utiliser des noms de fichiers similaires aux noms couramment utilisés pour les documents de travail et incitent les utilisateurs à télécharger un document Microsoft Word prenant en charge les macros.
L'Aggah RAT (Remote Access Trojan) est livré en tant que charge utile finale via une série de scripts. Une attaque Aggah typique implique pas moins de neuf étapes et la modification des valeurs de registre associées à MS Office également. Les utilisateurs qui ouvrent des fichiers de compte-gouttes liés à Aggah RAT reçoivent un avertissement pour activer le chargement de contenu à partir d'hôtes distants. C'est une astuce destinée à activer des macros et à charger des scripts à partir d'une page militarisée sur la plate-forme Blogspot. La page Blogspot nuisible héberge des JavaScripts qui sont téléchargés sur le PC de l'utilisateur et exécutés avec des privilèges d'administrateur. Les acteurs de la menace réussissent à désactiver l'outil AV natif sur Windows et à désactiver les fonctions de la suite Microsoft Office. Ensuite, le fichier dropper exécute les commandes PowerShell via une instance masquée de l'outil de ligne de commande Windows PowerShell. Les commandes installent l'Aggah RAT sur le disque local et enregistrent une tâche planifiée afin que le logiciel malveillant soit chargé au démarrage de Windows.
L'Aggah RAT est un outil d'accès à distance générique qui permet aux acteurs de la menace de récupérer des fichiers depuis votre PC; supprimer des fichiers sur vos disques; exécuter / terminer des programmes; tirez les signets de votre navigateur Web et les mots de passe enregistrés; prenez des captures d'écran de votre bureau; accéder à votre webcam et à votre microphone. Vous devez éviter les e-mails douteux et effectuer des analyses de sécurité chaque semaine si vous souhaitez réduire les risques d'être infecté par l'Aggah RAT. Les alertes de détection liées au malware Aggah sont répertoriées ci-dessous:
Logiciel malveillant @ # 2bi0wb8fa6yje
Autre: Malware-gen [Trj]
RDN / Generic Downloader.x
RTF / Exploiter
Suspect / RTF.Obfus.Gen.1
Trojan.Ole2.Vbs-heuristic.druvzi
Trojan.TDLQ-1
Trojan.X97M.DLOADR.JHLB
Virus.office.qexvmc.1095
Xls.Malware.Sload-6889487-0
