VengeanceRAT
RevengeRAT fait partie d'une campagne malveillante contre les logiciels malveillants qui cible les utilisateurs d'ordinateurs situés en Europe, en Asie, au Moyen-Orient et en Amérique du Nord. RevengeRAT est distribué via une variété de pages Web hébergées sur des plates-formes publiques telles que Blogspot et Pastebin, utilisant également ces pages dans le cadre de l'infrastructure de commande et de contrôle de RevengeRAT utilisée pour mener des attaques RevengeRAT. Les rapports de la dernière campagne RevengeRAT ont commencé à apparaître en mars 2019, même si le cheval de Troie RevengeRAT existe depuis 2016. Cette campagne de malware actuelle associée à RevengeRAT est devenue connue sous le nom d'Aggah et semble cibler les grandes entreprises et les réseaux gouvernementaux.
Table des matières
Comment le cheval de Troie RevengeRAT attaque un ordinateur
Le cheval de Troie RevengeRAT est accessible à tous depuis 2016, publié sur les forums de piratage. Une fois RevengeRAT installé, RevengeRAT permet à l'attaquant de contrôler l'ordinateur infecté à distance. Avec RevengeRAT, les criminels peuvent accéder aux fichiers sur un appareil informatique, exécuter des processus et des services de mémoire, espionner les activités de la victime et apporter des modifications à l'appareil affecté. RevengeRAT permet également aux criminels d'accéder aux périphériques connectés à l'ordinateur infecté, en leur permettant par exemple de suivre les frappes sur le clavier de l'ordinateur infecté ou d'accéder à la caméra ou au microphone pour surveiller l'environnement de l'ordinateur infecté.
Comment RevengeRAT est distribué dans la campagne Aggah
RevengeRAT a été distribué de différentes manières depuis sa création, qui incluent des méthodes de distribution de logiciels malveillants typiques bien connues, telles que l'utilisation de pièces jointes de courrier indésirable ou de publicités en ligne corrompues et de sites Web corrompus. La principale façon dont RevengeRAT est livré dans la campagne Aggah est via des documents corrompus qui utilisent des macros intégrées pour télécharger et installer RevengeRAT sur l'ordinateur de la victime. Les macros intégrées associées à cette campagne utilisent des publications sur Blogspot pour obtenir un script qui utilise le contenu Pastebin pour télécharger du contenu supplémentaire jusqu'à ce que RevengeRAT soit finalement installé et connecté à son serveur de commande et de contrôle. Le fichier leurre initial, qui commence l'attaque RevengeRAT, peut être déguisé de différentes manières et peut changer en fonction de la victime. Un échantillon observé le 27 mars 2019 a été livré dans un faux e-mail d'une banque avec la ligne d'objet `` Votre compte est verrouillé '', incitant la victime à ouvrir le fichier joint en pensant qu'il s'agit d'un document officiel d'une banque.
Comment RevengeRAT infecte un appareil
Lorsque la victime ouvre le fichier leurre, il affiche une image pour inciter la victime à activer les macros Microsoft Office. Permettre que cela se produise permet à RevengeRAT d'être installé sur l'ordinateur de la victime via un processus en plusieurs étapes impliquant diverses URL différentes. Dès que RevengeRAT est installé, ce cheval de Troie désactivera Microsoft Defender et tentera de désactiver d'autres contenus de sécurité sur l'ordinateur de la victime. La variante RevengeRAT installée dans ces attaques récentes est surnommée «explosion nucléaire» et semble mener une attaque RAT par porte dérobée typique. Un lien associé à la distribution RevengeRAT a été cliqué près de deux mille fois avec des cibles dans plus de vingt pays différents. Cela laisse entendre qu'il est très probable que les attaques RevengeRAT aient réussi à atteindre une victime potentielle en particulier.
Protéger vos données contre RevengeRAT
La meilleure protection contre les RAT comme le cheval de Troie RevengeRAT est d'avoir un produit de sécurité entièrement à jour installé sur votre ordinateur. En plus de disposer d'un programme anti-malware fiable, les chercheurs en malwares conseillent également aux utilisateurs d'ordinateurs de s'assurer que d'autres dispositifs de sécurité sur leur ordinateur sont activés, comme un pare-feu fiable et un filtre anti-spam. Les chercheurs en sécurité PC conseillent de désactiver les macros dans Microsoft Office et d'éviter de télécharger des fichiers suspects, en particulier des pièces jointes non sollicitées.
Bulletin d'analyse
Informations générales
| Family Name: | Trojan.Revenge-RAT |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
f7f95cde7776936c0cc90253a77a330b
SHA1:
53b9c14cea890878ecd6a50de587fbff5c5d2dcd
SHA256:
61772167A95F7D7EB84337C06144CBBA21B88B0ACE8EF24D59426C7A50E6ACC6
Taille du fichier:
16.90 KB, 16896 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have resources
- File doesn't have security information
- File is .NET application
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is not packed
Show More
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Traits
- .NET
- NewLateBinding
- No Version Info
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 28 |
|---|---|
| Potentially Malicious Blocks: | 3 |
| Whitelisted Blocks: | 7 |
| Unknown Blocks: | 18 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
Show More
|
| User Data Access |
|
| Anti Debug |
|
| Other Suspicious |
|
| Encryption Used |
|
| Network Winsock2 |
|
| Network Winsock |
|