TONResolver RAT
A Trend Micro kutatói egy új, TONResolver nevű JavaScript-alapú RAT-ot azonosítottak, amely 2026 májusában japán Booking.com partnerhoteleket vett célba. A támadás adathalász e-mailekkel indult, amelyek vendégpanasznak vagy értékelési kérésnek álcázták magukat. A hivatkozásról letöltött ZIP-állományban egy fényképnek álcázott LNK fájl indította el a fertőzést. A malware elsődleges szerepe nem az azonnali adatlopás, hanem a kezdeti hozzáférés biztosítása és a távoli parancsvégrehajtás, amely lehetővé teszi további kártevők telepítését és hitelesítő adatok megszerzését. A Trend Micro szerint a kampányban tömeges adathalászat mellett interaktív, Gmailen keresztül folytatott beszélgetéses pszichológiai manipulációt is alkalmaztak, hogy növeljék a felhasználók bizalmát.
A TONResolver legfontosabb újdonsága, hogy a C2 címét nem a malware tartalmazza, hanem a The Open Network (TON) blokkláncon tárolt okosszerződésből olvassa ki. Ez az úgynevezett dead drop resolver technika lehetővé teszi, hogy a támadók bármikor új C2-szerverre irányítsák a fertőzött gépeket anélkül, hogy a kártevőt módosítaniuk kellene. Mivel a blokklánc decentralizált és nehezen eltávolítható, a hagyományos infrastruktúra-lekapcsolási módszerek kevésbé hatékonyak. A fertőzött végpontok folyamatos keep-alive ciklusban várják a támadói utasításokat, így hosszú ideig kompromittált állapotban maradhatnak, miközben a támadók hitelesítő adatokat lophatnak vagy további payloadokat telepíthetnek.
A blokklánc-technológiák egyre gyakrabban jelennek meg a modern malware-ek C2 infrastruktúrájának elrejtésére és ellenállóbbá tételére.
