Компания Rapid7 обнаружила новую версию вредоносного ПО LodaRAT, которая способна красть куки и пароли пользователей из браузеров Microsoft Edge и Brave. LodaRAT является инструментом удаленного доступа (RAT), разработкой которого занимались в течение последних 8 лет. Эта версия LodaRAT используется только на операционных системах Windows.
LodaRat Malware
LodaRAT обладает широкими возможностями сбора и утечки данных, доставки дополнительного вредоносного ПО, захвата экрана и управления устройствами жертвы. Новая версия этой вредоносной программы распространяется через DonutLoader и CobaltStrike, а также обнаружена на системах, зараженных другими вредоносными программами, такими как AsyncRAT, Remcos, Xworm и другими. LodaRAT маскируется под популярные программы для Windows, такие как Discord, Skype и Windows Update.
В отличие от предыдущих кампаний, в которых жертвами выбирались организации в конкретных странах, новая кампания LodaRAT нацелена на заражение пользователей по всему миру. Возможно, это говорит о смене тактики злоумышленников. В 2021 году компания Cisco приписала LodaRAT к APT Kasablanka, которая занималась сбором информации и шпионажем, нацеленным на Россию и Бангладеш. Сейчас нельзя с уверенностью утверждать, что текущая кампания также связана с этой группой.
В техническом анализе описаны детали LodaRAT, включая механизм обфускации строк и методы заражения системы. Вредоносная программа изменяет заголовок окна, проверяет версию операционной системы, устанавливает значения в реестр и проверяет наличие определенных ключей реестра. Rapid7 также обнаружила репозиторий на GitHub с утечкой исходного кода LodaRAT, что может помочь анализировать и обновлять эту вредоносную программу.
Indicators of Compromise
IPv4
- 147.185.221.20
- 147.185.221.21
- 147.185.221.22
- 172.111.138.100
Domains
- 5.tcp.eu.ngrok.io
- dlm1.kro.kr
SHA256
- 392d0db0222fef303ea1a8b69fab284de26752889c575cd2d761cb819bdcaa32
- e147c5cf48f78917cc2aeab29854a6cdb89d60284a43d08187a0b411d7035b56
- 4b744c0b57fcbf91b5a7142efb84688c0e406710d8553f5a5d93240735d5be30
- 1fa58b2d513593b656faf6c8c6328e0ba20177b5c1a5cfc45f6e91f45ba215c3
- e901a4f5b4f7760ec3822b01b0123f0b5b31045054d00b933bb1c498141ceabc
- fab1ee438235563f02c0a2277ecc38c56a89b8b671df2a0d5b818e5129c3f04d
- a84f537549c24fdd4ea1f95d31f028247190f511f241983241131fc6072cb72c
- 3ee65679547f3a62add9c23d2b7a7b8fa6de8614f8a90a3db24357310f95a19b
- 50985c97be645d55169baebe8d848c36610a3ea007ee6dda4bb5e34638dae6e9
- 489675f3da53c5034aa03fbf329301f2c310ea115779a4508bdb4eb9062376dd
- cb132691793e93ad8065f857b4b1baba92e937cfc3d3a8042ce9109e12d32b4c
