SilabRAT
A SilabRAT egy új, Malware-as-a-Service (MaaS) modellben értékesített RAT, amelyet az o1oo1 nevű szereplő kínál orosz nyelvű kiberbűnözői fórumokon havi mintegy 5000 USD előfizetési díjért. A malware elsődleges célja hitelesítő adatok, munkamenetek és kriptovaluta-eszközök eltulajdonítása.
A SilabRAT a fertőzési láncban gyakran a jól ismert HijackLoader betöltőn keresztül települ, ezért számos biztonsági termék kezdetben csak HijackLoader-aktivitásként azonosítja.
A kártevő fejlett funkciói közé tartozik a HVNC (Hidden Virtual Network Computing), amely lehetővé teszi, hogy a támadó egy rejtett virtuális asztalon végezzen műveleteket anélkül, hogy az áldozat ezt látná. Emellett támogatja a böngészőprofil-klónozást, amellyel a támadók képesek átvenni aktív webes munkameneteket és megkerülni bizonyos modern védelmi mechanizmusokat, például az eszközazonosítást vagy IP-kötéseket.
A Group-IB szerint a SilabRAT erősen fókuszál a kriptovalutákhoz kapcsolódó adatokra, beleértve a tárcacímek, böngészőben tárolt hitelesítő adatok és egyéb pénzügyi artefaktumok gyűjtését. A cél nem a rombolás vagy zsarolás, hanem a pénzügyi haszonszerzés és a fiókátvételek végrehajtása.
