Забытый, но не побеждённый: LodaRAT снова атакует системы по всему миру

Специалисты из компании Rapid7 зафиксировали активность обновлённой версии вредоносного ПО LodaRAT, которое остаётся угрозой для пользователей даже спустя 8 лет с момента его появления. Это вредоносное ПО, разработанное на AutoIt и впервые замеченное в 2016 году, теперь умеет красть cookies и пароли из браузеров Microsoft Edge и Brave.

Изначально LodaRAT использовался для сбора информации, но со временем его функционал значительно расширился. Теперь он может захватывать изображения экрана, управлять камерой и мышью жертвы, доставлять дополнительное вредоносное ПО и даже распространяться по заражённым системам. Несмотря на долгий период без обновлений, разработчики внесли лишь небольшие доработки в 2024 году, оставив основные модули без изменений.

Эксперты отмечают, что ранее LodaRAT распространялся через фишинг и эксплуатацию уязвимостей, но сейчас злоумышленники используют новые методы доставки — через загрузчики DonutLoader и CobaltStrike. Примечательно, что новые образцы маскируются под легитимные программы, такие как Discord и Skype.

Киберкампания 2024 года отличается от предыдущих тем, что атаки не ограничиваются отдельными регионами — заражённые системы обнаружены по всему миру. Примерно 30% образцов вредоносного ПО были загружены из США. Ранее LodaRAT связывали с группировкой Kasablanka, однако новая кампания демонстрирует изменённую стратегию злоумышленников.

Rapid7 обнаружили утечку исходного кода LodaRAT на GitHub, что позволяет другим хакерам модифицировать его под свои нужды. Вредонос использует сокрытие строк и UPX-пакер для обхода антивирусов, а также сохраняет данные в скрытых папках на системах жертв. Злоумышленники также задействуют TCP-соединения для передачи данных и управления заражёнными устройствами.

LodaRAT способен выполнять произвольные команды на удалённой системе, загружать и запускать дополнительное ПО, получать доступ к микрофону и камере, а также управлять брандмауэром Windows. Исходный код вредоноса легко модифицируется, что позволяет злоумышленникам быстро адаптировать программу под новые цели.

Несмотря на свой возраст, LodaRAT остаётся серьёзной угрозой благодаря своей адаптивности и широкому функционалу, что доказывает: даже старое вредоносное ПО может оставаться эффективным, если не уделять должное внимание кибербезопасности.