Cybersecurity -onderzoekers hebben een nieuwe, geavanceerde Trojan op afstand tot trojan genaamd Resolverrat ontdekt die is waargenomen bij aanvallen op gezondheidszorg en farmaceutische sectoren.
“De dreigingsacteur maakt gebruik van op angst gebaseerde kunstaas die worden geleverd via phishing-e-mails, ontworpen om ontvangers onder druk te zetten om op een kwaadaardige link te klikken,” zei Morphisec Labs-onderzoeker Nadav Lorber in een rapport gedeeld met het Hacker News. “Eenmaal bezocht, stelt de link de gebruiker opdracht om een bestand te downloaden en te openen dat de ResolverRat -uitvoeringsketen activeert.”
De activiteit, die zo recent wordt waargenomen als 10 maart 2025, deelt infrastructuur- en leveringsmechanisme overlappen met phishingcampagnes die informatie -malware van het stealer hebben afgeleverd, zoals Lumma en Rhadamanthys, zoals gedocumenteerd door Cisco Talos en Check Point vorig jaar.
Een opmerkelijk aspect van de campagne is het gebruik van gelokaliseerde phishing kunstaas, met de e -mails die zijn gemaakt in de talen die voornamelijk in de beoogde landen worden gesproken. Dit omvat Hindi, Italiaans, Tsjechisch, Turks, Portugees en Indonesisch, wat de pogingen van de dreigingsacteur om een breed net te werpen door regiospecifieke targeting en de infectiesnelheden aan te geven.
De tekstuele inhoud in de e -mailberichten maakt gebruik van thema’s met betrekking tot juridische onderzoeken of schendingen van het auteursrecht die proberen een vals gevoel van urgentie te veroorzaken en de kans op gebruikersinteractie te vergroten.
De infectieketen wordt gekenmerkt door het gebruik van de DLL-side-load-techniek om het proces te initiëren. De eerste fase is een in-memory-lader die de belangrijkste lading ontrodeert en uitvoert en tegelijkertijd een schare trucs heeft opgenomen om onder de radar te vliegen. Niet alleen gebruikt de resolverrat -payload codering en compressie, maar het bestaat ook alleen in het geheugen zodra deze is gedecodeerd.
“De initialisatiesequentie van de resolverrat onthult een geavanceerd, multi-fasen bootstrapping-proces ontworpen voor stealth en veerkracht,” zei Lorber, toevoegend “implementeert meerdere redundante persistentiemethoden” door middel van Windows-register en op het bestandssysteem door zichzelf op verschillende locaties te installeren als een fallback-mechanisme.
Eenmaal gelanceerd, maakt de malware gebruik van een op maat gemaakte certificaatgebaseerde authenticatie voordat het contact met een command-and-control (C2) -server opstelt, zodat deze de rootautoriteiten van de machine omzeilt. Het implementeert ook een IP -rotatiesysteem om verbinding te maken met een alternatieve C2 -server als de primaire C2 -server niet beschikbaar is of wordt verwijderd.
Bovendien is resolverrat uitgerust met mogelijkheden om detectie -inspanningen te omzeilen door certificaat pinnen, broncode obfuscatie en onregelmatige bakenpatronen naar de C2 -server.
“Deze geavanceerde C2 -infrastructuur toont de geavanceerde mogelijkheden van de dreigingsacteur, het combineren van beveiligde communicatie, fallback -mechanismen en ontwijkingtechnieken die zijn ontworpen om persistente toegang te behouden en tegelijkertijd detectie te ontwijken door beveiligingsbewakingssystemen,” zei Morphisec.
Het uiteindelijke doel van de malware is het verwerken van opdrachten die door de C2 -server zijn uitgegeven en de antwoorden terug te brengen, gegevens over 1 MB in grootte in 16 kb -brokken te verbreken om de kansen op detectie te minimaliseren.
De campagne moet nog worden toegeschreven aan een specifieke groep of land, hoewel de overeenkomsten in verleidingsthema’s en het gebruik van DLL-side-loading met eerder waargenomen phishing-aanvallen verwijzen naar een mogelijke verbinding.
“De uitlijning (…) duidt op een mogelijke overlap in de infrastructuur van de dreigingsacteur of operationele playbooks, die mogelijk wijzen op een gedeeld gelieerde model of gecoördineerde activiteit onder gerelateerde bedreigingsgroepen,” zei het bedrijf.
De ontwikkeling komt als Cyfirma gedetailleerd een andere externe toegang Trojan-codenaam Neptune Rat die een modulaire, plug-in-gebaseerde benadering gebruikt om informatie te stelen, persistentie op de gastheer te behouden, een $ 500 losgeld te eisen en zelfs het masterbootrecord (MBR) te overschrijven om het normale functioneren van het Windows-systeem te verstoren.
Het wordt vrijelijk gepropageerd via GitHub, Telegram en YouTube. Dat gezegd hebbende, is het GitHub -profiel dat is gekoppeld aan de malware, de MasongRoup genaamd (aka vrijmetselarij), niet langer toegankelijk.
“Neptune Rat bevat geavanceerde anti-analysetechnieken en persistentiemethoden om zijn aanwezigheid op het systeem van het slachtoffer te handhaven voor langere periodes en zit vol met gevaarlijke functies,” merkte het bedrijf op in een analyse die vorige week werd gepubliceerd.
Het bevat een “crypto -clipper, wachtwoordstealer met mogelijkheden om meer dan 270+ verschillende toepassingen, ransomware -mogelijkheden en live desktopbewaking te exfiltreren, waardoor het een uiterst serieuze bedreiging is.”
