Investigadores de Fortinet descubrieron una nueva campaña que utiliza dos troyanos RAT (Remote Access Trojan) para poder robar información de navegadores Chrome y Firefox.
RevengeRAT ejecuta una serie de scripts en Powershell para no ser detectado. Una vez infectada la máquina, se establece una conexión hacia servidores C&C y recopila la información de la víctima. Los 2 servidores asociados a RevengeRAT fueron cerrados durante el análisis.
WSHRAT utiliza el mismo código que utiliza RevengeRAT para descargar el malware, pero con un payload diferente codificado en base-64. Se confirma que tiene 29 funciones para realizar diferentes tareas que incluyen evasión, persistencia y procesamiento de datos para robo y exfiltración. El objetivo de WSHRAT es la de robar información de navegadores Chrome y Firefox, incluyendo el software FoxMAIL.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |
Tipo | Indicador |
---|---|
ip | 185.84.181.102 |
ip | 193.56.28.134 |
url | https://scisolinc.com/wp-in... |
url | http://britianica.uk.com:4132 |
hash | e3edfe91e99ba731e58fc2ad33f... |
hash | 69bcc37ee5093123bb06d4492ba... |
hash | d6a5cc000867f5778c3f761ea5a... |