Lilith RAT: крыса из бухгалтерии охотится на ваши данные

Lilith RAT: крыса из бухгалтерии охотится на ваши данные

CURKON показывает изощренный способ заражения компьютеров.

image

В апреле компания S2W обнаружила новое вредоносное ПО, маскирующееся под документы об уклонении от уплаты налогов, которые в конечном итоге доставляют на компьютер троян Lilith RAT.

Вредоносный код (получил название CURKON), спрятанный в LNK-файле, при запуске загружает поддельный документ и скачивает дополнительные файлы с C2-сервера, которые в конечном итоге активируют троян Lilith RAT. Троян написан на языке AutoIt и позволяет удаленно управлять зараженной системой.

Хотя использование Lilith RAT ранее приписывалось северокорейской группе KONNI, TALON отметила различия в функциях и предположила, что атака была организована новой группой под названием puNK-003. Интересным моментом является то, что обе группы использовали одни и те же методы для загрузки файлов с захваченных серверов WordPress, что подтверждает связь между ними.

Вредоносное ПО, используемое puNK-003, было создано на базе уже существующего кода и переписано с помощью AutoIt. Этот факт может указывать на то, что обе группы, возможно, использовали одни и те же инструменты для преобразования кода или даже использовали ИИ для создания своих скриптов. Специалисты предупреждают, что при работе с файлами, полученными из внешних источников, следует быть особенно внимательными и проверять их тип перед запуском.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь