在恶意软件分析师与开发人员就使用该工具的攻击进行质询后,被称为“CodeRAT”的远程访问木马 (RAT) 的源代码已在 GitHub 上泄露。
该恶意操作似乎源自伊朗,针对讲波斯语的软件开发人员,其 Word 文档包含 Microsoft 动态数据交换(DDE) 漏洞。
该漏洞利用从威胁参与者的 GitHub 存储库下载并执行 CodeRAT,为远程操作员提供了广泛的感染后功能。
更具体地说,CodeRAT 支持大约 50 条命令,并具有针对 web 邮件、Microsoft Office 文档、数据库、社交网络平台、Windows Android 的集成开发环境 (IDE) 甚至 PayPal 等个人网站的广泛监控功能。
网络安全公司 SafeBreach 报告说,该恶意软件还监视敏感窗口,用于 Visual Studio、Python、PhpStorm 和 Verilog 等工具——一种用于建模电子系统的硬件描述语言。
为了与其运营商通信并泄露被盗数据,CodeRAT 使用基于 Telegram 的机制,该机制依赖于公共匿名文件上传 API,而不是更常见的命令和控制服务器基础设施。
虽然当研究人员联系恶意软件开发者时该活动突然停止,但由于其作者公开了源代码,CodeRAT 可能会变得更加流行,
CodeRAT 详细信息
该恶意软件支持大约 50 条命令,包括截屏、复制剪贴板内容、获取正在运行的进程列表、终止进程、检查 GPU 使用情况、下载、上传、删除文件、执行程序。
CodeRAT 的 GUI 命令生成器 (SafeBreach)
攻击者可以通过构建和混淆命令的 UI 工具生成命令,然后使用以下三种方法之一将它们传输到恶意软件:
带代理的 Telegram bot API(无直接请求)
手动模式(包括 USB 选项)
“myPictures”文件夹中本地存储的命令
同样的三种方法也可用于数据泄露,包括单个文件、整个文件夹或针对特定文件扩展名。
主窗口为操作员提供了一种执行手动功能的方法 (SafeBreach)
如果受害者所在的国家/地区禁止了 Telegram,CodeRAT 会提供反过滤功能,该功能会建立一个单独的请求路由通道,帮助绕过封锁。
作者还声称恶意软件可以在重新启动之间持续存在,而无需对 Windows 注册表进行任何更改,但 SafeBreach 没有提供有关此功能的任何详细信息。
CodeRAT 具有强大的功能,可能会吸引其他网络犯罪分子。恶意软件开发人员一直在寻找可以轻松转化为新“产品”以增加利润的恶意软件代码。
