Malware VileRAT

El malware VileRAT es una potente amenaza utilizada por los ciberdelincuentes para atacar a los corredores de cambio de moneda extranjera y criptomonedas. Se han identificado organizaciones objetivo o comprometidas en una amplia gama de ubicaciones geográficas, incluidos Kuwait, los Emiratos Árabes Unidos, la Federación Rusa, Alemania, Bulgaria y más.

Según un informe publicado por expertos en malware, VileRAT se ha atribuido al grupo de ciberdelincuencia DeathStalker , una organización que se cree que ofrece servicios de piratería a sueldo. La campaña VilerRAT exhibe las capacidades mejoradas de DeathStalker para evitar la detección mediante el uso de ofuscaciones de última generación, empaquetado de múltiples capas y de capas bajas, cargador de PE en memoria con ejecución de varias etapas e incluso omisiones heurísticas diseñadas para engañar a soluciones de seguridad específicas. Sin embargo, la carga útil final de VileRAT todavía tiene un tamaño masivo de 10 MB.

Una vez que el RAT (troyano de acceso remoto) se ha ejecutado en el sistema violado, permite que los actores de amenazas ejecuten comandos arbitrarios a través del símbolo del sistema. Los piratas informáticos también pueden descargar archivos adicionales o cargas útiles, ejecutar archivos elegidos, manipular el sistema de archivos, eliminar procesos, abrir sitios web y más. VileRAT puede establecer rutinas de registro de teclas para obtener información confidencial, como credenciales de cuenta, detalles de inicio de sesión, datos de pago, etc.

Para garantizar su presencia continua en el sistema infectado, VileRAT activa un mecanismo de persistencia mediante la creación de tareas programadas a través del Programador de tareas de Windows. Los piratas informáticos DeathStalker pueden enviar actualizaciones a la amenaza desde el servidor de comando y control de la operación.