RAT PowerShell

Les chercheurs en cybersécurité ont identifié une nouvelle RAT (Remote Access Threat) que les cybercriminels ont exploitée contre des cibles en Allemagne. Le cheval de Troie est suivi sous le nom de PowerShell RAT, et il est déployé via des sites Web corrompus en utilisant la guerre en Ukraine comme leurre.

Le PowerShell RAT est équipé des fonctionnalités typiques attendues des menaces de ce type. Une fois déployé sur les systèmes ciblés, il commence à collecter les données pertinentes sur les appareils. Comme son nom l'indique, les principales fonctions de la menace tournent autour de l'exécution de commandes de script PowerShell. De plus, les acteurs de la menace peuvent exfiltrer des fichiers choisis du système piraté ou y déployer des charges utiles supplémentaires. Cela permet aux attaquants d'étendre leurs capacités au sein du système, en fonction de leurs objectifs. Ils peuvent télécharger et exécuter des chevaux de Troie supplémentaires, des menaces de ransomware, des crypto-mineurs, etc.

Le site Web de leurre diffusant le PowerShell RAT est conçu pour ressembler étroitement au site Web de l'État allemand du Bade-Wurtemberg. Les acteurs de la menace ont même utilisé un domaine - collaboration-bw(dot)de, qui était auparavant associé au site officiel. Sur la fausse page, les utilisateurs recevraient des informations précises sur les événements concernant la guerre en Ukraine. Le site tentera de convaincre ses visiteurs de télécharger un fichier nommé "2022-Q2-Bedrohungslage-Ukraine.chm.txt". Une fois ouvert, le fichier affichera un faux message d'erreur concernant un problème supposé, tandis qu'un script compromis sera exécuté silencieusement en arrière-plan. Le script lancera la chaîne d'infection du PowerShell RAT.