Revenge был одним из самых популярных троянов удаленного доступа в 2019 году, когда он фигурировал в масштабной вредоносной кампании под названием "Aggah". Эта вредоносная программа может брать под удаленный контроль зараженные машины и шпионить за жертвами.
Что такое вредоносная программа Revenge?
Revenge относится к классу троянцев удаленного доступа, что означает, что он обычно используется злоумышленниками для удаленного контроля зараженных ПК или шпионажа за пользователями путем мониторинга нажатий клавиш и даже окружения компьютера через удаленный доступ к веб-камере и микрофону.
Впервые обнаруженный в 2016 году, Revenge RAT продолжает представлять угрозу и в настоящее время. Большой всплеск популярности был отмечен в 2019 году, когда вредоносная программа была замечена в масштабной вредоносной кампании под кодовым названием "Aggah", направленной на корпорации и правительственные структуры по всему миру. Благодаря большому разнообразию методов распространения, схожих с ransomware, надежному набору основных функций и надежным механизмам персистенции, Revenge стал популярным выбором киберпреступников. Популярности этого RAT способствовал и его открытый исходный код - любой желающий может свободно скачать Revenge на подпольных хакерских форумах и использовать его в своих собственных кампаниях.
Общее описание Revenge
Впервые Revenge RAT был замечен в дикой природе в июне 2016 года, когда он был выпущен пользователем с ником Napoleon - арабоязычным членом подпольного хакерского сообщества.
Первоначальная версия этого вредоносного ПО представляла собой простую вредоносную программу, которая не предлагала практически никакой обфускации кода и в основном использовалась другими арабоязычными киберпреступниками. Несмотря на простоту вредоносной программы, в то время только один из 54 сканеров VirusTotal смог распознать вредоносную природу кода Revenge, что смутило исследователей, учитывая отсутствие методов анти-анализа.
Создатель использовал Visual Basic для разработки этой RAT и лично признал, что на момент своего первоначального выпуска вредоносная программа была очень "голой" - предоставляла только самые базовые функции и определенно проигрывала конкурентам по набору основных функций. По словам Наполеона, это объясняло, почему Revenge был доступен бесплатно.
Через два месяца после первоначального выпуска автор выпустил новую версию v0.2 на более популярном хакерском форуме, на этот раз с более широкими возможностями, но по-прежнему предлагаемую совершенно бесплатно. С тех пор Revenge эволюционировал еще больше, и сегодня он предлагает киберпреступникам широкий спектр возможностей, включая удаленное изменение файлов и реестра на зараженной машине, доступ к памяти, процессам и службам, а также доступ к подключенным устройствам, таким как клавиатуры, веб-камеры и мыши, что позволяет этой вредоносной программе записывать действия своих жертв и собирать такую информацию, как банковские реквизиты и данные социальных аккаунтов.
Основной набор вредоносных функций был не единственным, что развивалось в течение жизни Revenge. Улучшения в распространении и стойкости сделали эту угрозу действительно силой, с которой нужно считаться. В некоторых кампаниях скрипты выполнялись в HTML пользовательской страницы Blogspot [com].
Процесс выполнения Revenge
Иногда первые шаги выполнения трояна Revenge могут отличаться в зависимости от того, как он попал на компьютер жертвы. Наиболее распространенной формой вектора первоначального проникновения является использование Mshta.exe для загрузки полезной нагрузки или для прямого выполнения с URL-адреса. После доставки полезной нагрузки на зараженную машину Mshta.exe изменяет значение автозапуска в реестре и запускает три процесса - cmd.exe, powershell.exe и schtasks.exe. Он запускает cmd.exe для уничтожения процессов из списка, в приведенном примере целью были процессы из пакета Microsoft Office. Запускается Powershell.exe для загрузки основной полезной нагрузки. В свою очередь, запускается schtasks.exe для создания запланированной задачи, которая обеспечивает постоянство Revenge в зараженной системе. После всех этих шагов вредоносная программа готова к выполнению команд с серверов C2.
Как избежать заражения Revenge?
Лучшая линия защиты от таких угроз, как Revenge RAT, - поддерживать установленный продукт безопасности и обновлять его с помощью последней версии прошивки. Не следует отключать встроенные функции безопасности Windows, регулярно обновлять ОС и придерживаться лучших практик безопасности в Интернете.
В частности, рекомендуется не загружать вложения электронной почты от неизвестных отправителей и не включать макросы в Microsoft Office, если на это указывает файл, загруженный из подозрительного письма. Эти же рекомендации относятся и к другим угрозам, таким как Glupteba и Smoke Loader.
Распространение программы "Месть
Revenge распространяется различными способами, как и ransomware, причем некоторые из них потенциально более эффективны, чем другие. Например, известно, что Revenge заражает ПК из вредоносных вложений электронной почты и поврежденной рекламы на взломанных веб-сайтах.
Чаще всего после доставки в файле Microsoft Office, который был загружен и запущен потенциальной жертвой, Revenge использует макросы для подключения к внешнему домену, иногда скрытому на веб-странице, откуда загружаются дополнительные сценарии и содержимое, пока вредоносная программа не будет установлена на ПК.
Заключение
Revenge - не лыком шит, когда речь заходит об удаленных банковских троянцах. Он начал свою жизнь как простая вредоносная программа типа ransomware и без функций антианализа, но превратился в мощный и стойкий троян, используемый в массированных атаках в Европе, Северной Америке, Азии и на Ближнем Востоке.
Популярность этого вредоносного ПО объясняется не только его широким набором функций, но и доступностью, поскольку Revenge можно бесплатно загрузить из ряда подпольных сообществ.