Он называется UBoatRAT, а ссылки на Google Drive являются основным источником распространения. Центр управления и контроля RAT (C&C) поставляется из GitHub, и для поддержания постоянства он использует «Фоновая интеллектуальная служба передачи» (Background Intelligent Transfer Service – BITS) от Microsoft Windows.
Вредоносная программа была впервые замечена в мае 2017 года, затем она использовала простой HTTP-бэкдор через скомпрометированный веб-сервер в Японии и публичный блог-сервер в Гонконге для Центра управления и командования (C&C). С тех пор разработчики добавили много новых функций в вредоносное ПО и летом выпустили обновленные версии. Атаки были разобраны в сентябре.
Хотя точное количество пока не ясно, Palo Alto Networks считает, что они могут быть связаны с Кореей или отраслью видеоигр, из-за корейского языка в названиях игр, названиях компаний игр в Корее и некоторых слов, используемых в индустрия видеоигр для передачи.
Исследователи говорят, что UBoatRAT не повлияет на домашних пользователей, поскольку они не являются частью домена, так как он был специально разработан для компромисса устройств в домене Active Directory.
Недавнее расследование показывает, что это вредоносное ПО распространяется через ZIP-файл, размещенный на Google Диске, содержащий вредоносный исполняемый файл. Этот ZIP-файл замаскирован под папку или электронную таблицу Microsoft Excel. Последние версии вредоносного ПО выглядят как документ Microsoft Word.
После успешного удаления брандмауэра системы вредоносное ПО проверяет инструменты виртуализации, то есть VirtualBox, VMWare, QEmu, а затем получает доменное имя из сетевых параметров. Если он распознает виртуальную машину или не сможет получить имя домена, оно больше не отображает ложное сообщение об ошибке.
Или же UBoatRAT копирует свои файлы в C: \ programdata \ svchost.exe и создает и приводит его в исполнение C: \ programdata \ init.bat, после чего он отображает конкретное сообщение и завершает работу.
Вредоносная программа использует Background Intelligent Transfer Service Microsoft Windows (BITS) - администрацию для обмена записями между устройствами - для обеспечения устойчивости. Работы BITS могут выполняться и наблюдаться с использованием инструмента командной строки Bitsadmin.exe, который предлагает выбор для выполнения программы, когда деятельность завершает процесс обмена информацией или ошибается, а UBoatRAT использует эту альтернативу для продолжения работы в системе даже после перезагрузки.
Адрес C&C и конечный порт скрыты в документе вместе с GitHub, и вредоносное ПО попадает в файл с использованием определенного URL-адреса. Пользовательский протокол C&C используется для связи с сервером злоумышленника.
Команды Backdoor, полученные от злоумышленника, включают в себя: действующий (проверяет, действующий ли RAT), онлайн (держит RAT онлайн), upfile (загружает файл на зараженную машину), закручивает (загружает файл с указанного URL), downfile (загружает файл из зараженного machine), exec (выполняет процесс с обходом UAC с использованием Eventvwr.exe и захвата реестра), запускает (начинает CMD-обшивку), закручивает (загружает файл с указанного URL-адреса), pskill (завершает определенный процесс) и pslist (перечисляет запущенные процессы).
Аналитики Palo Alto обнаружили четырнадцать моделей UBoatRAT и, кроме того, один загрузчик, связанный с атаками. Специалисты также связали вредоносное ПО с учетной записью GitHub «elsa999» и обнаружили, что разработчик был в большинстве случаев обновлял арсенал с июля.
«Несмотря на то, что самая последняя форма UBoatRAT была выпущена в сентябре, мы увидели различные обновления в отчетах elsa999 на GitHub в октябре. Создатель по всем счетам энергично планирует и тестирует угрозу. Мы будем следить за его обновлениями", - сказал Пало-Альто.
Советы по предотвращению заражения вашей системы всеми вирусами и вредоносными программами:
- Включите блокировщик всплывающих окон: Всплывающие окна и реклама являются наиболее часто используемой тактикой киберпреступников и разработчиков с намерением распространить вредоносные программы. Поэтому избегайте сомнительных сайтов, программных обеспечений, всплывающих окон и т.д. Установите мощный блокировщик рекламы для Chrome, Mozilla, и Internet Explorer.
- Не забывайте обновлять ваш Windows: чтобы избегать таких заражений, мы рекомендуем обновлять систему через автоматическое обновление Windows. Так ваша система может избегать заражений вирусами. Согласно опросу, устаревшие/ старые версии операционной системы Windows легче подвержены заражениям вирусами.
- Сторонняя установка: старайтесь избегать сайтов для скачивания бесплатных программных обеспечений, так как они обычно в комплекте устанавливают программное обеспечение с другими установками и файлами заглушки.
- Регулярное резервное копирование: регулярное и периодическое резервное копирование помогает вам держать ваши данные в безопасности в случае заражения вирусом или любым другим заражением. Таким образом, регулярно сохраняйте важные файлы на облачном диске или внешнем жестком диске.
- Всегда пользуйтесь антивирусом: Меры предосторожности всегда лучше, чем лечение последствий. Рекомендуем установить антивирус ITL Total Security или Malware Removal Tool например Download Virus RemovalTool
