Разработчик RAT-трояна выложил исходный код вируса на GitHub

Исследователи SafeBreach Labs проанализировали новую кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа RAT, отслеживаемым SafeBreach Labs как CodeRAT.

Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub.

CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:

• создание снимков экрана;
• копирование буфера обмена;
• завершение процессов;
• анализ использования графического процессора;
• загрузку, выгрузку и удаление файлов;
• мониторинг запущенных процессов;
• выполнение программ.

Также вредоносное ПО может отслеживать:

• электронную почту;
• документы Microsoft Office;
• базы данных;
• социальные сети;
• игры;
• интегрированные среды разработки (IDE) для Windows и Android;
• порносайты.

CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых уникальны для иранских жертв – популярный иранский сайт электронной коммерции и веб-мессенджер на фарси.

Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством

CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram.

Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами.

По словам ученых, их цель — повысить осведомленность об этом новом типе вредоносного ПО, использующего относительно новый метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки.