A SharpRhino RAT az IT dolgozókat veszi célba
A Hunters International ransomware csoport egy új, SharpRhino nevű C# távoli hozzáférési trójai (RAT) kártevővel veszi célba az informatikai dolgozókat, hogy betörjenek a vállalati hálózatokba. A malware segítségével a Hunters International elérheti a kezdeti fertőzést, megnövelheti jogosultságait a megtámadott rendszereken, PowerShell-parancsokat hajthat végre, és végül telepítheti a ransomware hasznos terhét.
A Quorum Cyber kutatói, akik megfigyelték a zsarolóvírus-támadásban használt malware-t, arról számoltak be, hogy azt egy olyan typosquatting oldal terjeszti, amely az informatikai szakemberek által használt, legitim hálózati eszköz, az Angry IP Scanner weboldalának adja ki magát. A SharpRhino egy digitálisan aláírt 32 bites telepítőprogramként (“ipscan-3.9.1-setup[.]exe”) terjed, amely egy jelszóval védett 7z archívumot tartalmaz, amely további fájlokat tartalmaz a fertőzés végrehajtásához. A telepítő módosítja a Windows registry-t a perzisztencia érdekében, és létrehoz egy parancsikont a Microsoft.AnyKey.exe fájlhoz, amely általában egy Microsoft Visual Studio bináris program, amellyel ebben az esetben visszaélnek. Ezenkívül a telepítő ledobja a ‘LogUpdate.bat’ fájlt, amely PowerShell szkripteket hajt végre az eszközön, hogy a C# nyelvet lefordítsa a memóriába a rosszindulatú szoftverek lopakodó futtatásához. A redundancia érdekében a telepítő két könyvtárat hoz létre, a ‘C:\ProgramData\Microsoft: WindowsUpdater24″ és a “LogUpdateWindows” könyvtárat, amelyeket a parancs- és vezérlés (C2) során használnak. Az elemzés azt mutatja, hogy a kártevő képes a PowerShell futtatására a fertőzött állomáson, amely különböző veszélyes műveletek végrehajtására használható.
