Исследователи SafeBreach Labs проанализировали новую кампанию, нацеленную на разработчиков, говорящих на фарси. Злоумышленники использовали документ Microsoft Word, который включал эксплойт Microsoft Dynamic Data Exchange (DDE) вместе с ранее неизвестным трояном удаленного доступа RAT, отслеживаемым SafeBreach Labs как CodeRAT.Примечательно, что эксперты смогли идентифицировать разработчика CodeRAT, который решил опубликовать исходный код CodeRAT в своей общедоступной учетной записи GitHub.
CodeRAT позволяет оператору отслеживать активность жертвы в соцсетях и на локальных компьютерах, поддерживая 50 команд, включая:
создание снимков экрана;
копирование буфера обмена;
завершение процессов;
анализ использования графического процессора;
загрузку, выгрузку и удаление файлов;
мониторинг запущенных процессов;
выполнение программ.
Также вредоносное ПО может отслеживать:
электронную почту;
документы Microsoft Office;
базы данных;
социальные сети;
игры;
интегрированные среды разработки (IDE) для Windows и Android;
порносайты.
CodeRAT также отслеживает большое количество заголовков окон браузера, 2 из которых уникальны для иранских жертв – популярный иранский сайт электронной коммерции и веб-мессенджер на фарси. Эксперты считают, что CodeRAT представляет собой шпионское ПО, используемое иранским правительством. По словам исследователей, отслеживание посещений порносайтов, использование инструментов анонимного просмотра и активности в соцсетях делает CodeRAT разведывательным инструментом, используемый злоумышленником, связанным с правительством CodeRAT может работать в скрытом режиме, избегая отправки данных. Вредоносное ПО не использует выделенный C&C-сервер, вместо этого оно загружает данные на анонимный общедоступный сайт. CodeRAT ограничивает свое использование до 30 дней, чтобы избежать обнаружения. Он также использует веб-сайт HTTP Debugger в качестве прокси для связи со своим C&C-каналом в Telegram. Исследователи также обнаружили доказательства того, что имена нападавших могут быть Мохсен и Сиавахш, которые являются распространенными персидскими именами. По словам ученых, их цель — повысить осведомленность об этом новом типе вредоносного ПО, использующего относительно новый метод использования сайта для анонимной отправки файлов в качестве C&C-сервера. Эксперты также планируют предупредить сообщество разработчиков о том, что они особенно уязвимы для этой атаки.