มัลแวร์ BitRAT เริ่มใช้ข้อมูลธนาคารที่โดนขโมยมาในการทำ phishing

ผู้โจมตีที่อยู่เบื้องหลังการใช้มัลแวร์ครั้งล่าสุด ได้ทำการใช้ข้อมูลลูกค้าของธนาคารในโคลัมเบียที่ขโมยมาในการทำ phishing ที่ออกแบบมาให้มีการฝัง BitRAT remote access trojan ลงไปในเครื่องของเหยื่อ อ้างอิงจากการรายงานของ Qualys ได้มีการพบว่าโครงสร้างพื้นฐานของธนาคารสหกรณ์โคลอมเบียไม่เปิดเผยชื่อ ได้ถูกโจมตีในขณะที่กำลังทำการสืบสวนเรื่อง phishing ของ BitRAT ข้อมูลที่ถูกขโมยไปมีทั้งหมด 418,777 รายการ มีทั้งข้อมูลลูกค้าทีเป็น เบอร์โทรศัพท์, ชื่อ, อีเมล์, ที่อยู่, เลขประจำตัวประชนของโคลัมเบีย, การจ่ายเงิน และข้อมูลเงินเดือน ซึ่งในระหว่างการสืบสวนทาง Qualys ได้พบหลักฐานว่าผู้โจมตีได้เข้าถึงข้อมูลลูกค้า และจาก log ที่เก็บไว้พบว่าพวกเขากำลังมองหาบัค SQL injection โดยการใช้เครื่องมือ sqlmap จากการ monitor ของทาง Qualys แสดงให้เห็นว่าในตอนนี้ยังไม่มีข้อมูลว่าข้อมูลที่ถูกขโมยไปจากเซิร์ฟเวอร์ของธนาคารในโคลัมเบียวางขายอยู่ในตลาดมืดแต่อย่างใด ส่วนในเรื่องของตัวมัลแวร์เข้ามาจากทางไฟล์ Excel ที่เป็นอันตราย ที่จะทำการปล่อยไฟล์ INF แบบ encode พร้อมกับมาโครไฟล์ที่ซับซ้อนที่แฝงเข้ามาในไฟล์ attachment ของอีเมล

และจากนั้นเพย์โหลด BitRAT สุดท้ายจะถูกดาวน์โหลดจากที่เก็บ GitHub โดยใช้ไลบรารี WinHTTP บนอุปกรณ์ที่ถูกโจมตี และ execute โดยใช้ฟังก์ชั่น WinExec ในระหว่างขั้นตอนสุดท้ายของการโจมตี มัลแวร์ RAT จะย้ายตัวโหลดไปยัง Windows startup folder เพื่อที่จะคงสถานะ persistence และรีสตาร์ทโดยอัตโนมัติหลังจากรีบูตระบบในเดือนสิงหาคม 2020 BitRAT ถูกขายในแบบ off-the-shelf มัลแวร์บนเว็บมืด และในฟอรั่มไซเบอร์เพียงแค่ 20 ดอลลาร์ สำหรับการใช้งานถาวร ซึ่งหลังจากจ่ายเงินแล้ว ลูกค้าแต่ละเจ้าก็สามารถนำไปโจมตีใส่เหยื่อได้หลากหลายรูปแบบด้วยกับมัลแวร์ตัวนี้ไม่ว่าจะเป็น phishing, watering holes และ trojanized software เป็นต้น BitRAT เป็นมัลแวร์ที่มีความยืดหยุ่นสูงสามารถใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายได้หลากหลาย รวมถึงการบันทึกวิดีโอและเสียง การโจรกรรมข้อมูล การโจมตี DDoS การขุด cryptocurrency และการส่ง payload